me puedo descansar con formulario solo de mail?

waloweb · #1 (**permalink**) 06/10/2008, 17:09

Hola: he creado formulario html con php muy sencillito y las consultas envia a un email gmail. No posee nada extra.

Tendria que preocuparme por la seguridad mas allá del spam?

como no hay contacto con la base de datos creo es seguro. Me equivoco?

gracias!

korg1988 · #2 (**permalink**) 06/10/2008, 17:38

no tendria porque haber problema siempre y cuando transformes y formatees los datos de entrada de manera que no se puedan producir injecciones, y otras cosas

pero en teoria no hay problema

geq · #3 (**permalink**) 06/10/2008, 19:35

Hay un par de puntos que tendrías que tener en cuenta:

- No poner la dirección de destino en el html sino dentro del mismo script php
- Realizar alguna verificación antispam porque se vuelve realmente insoportable la cantidad de spam que se recibe, independientemente del tráfico de tu página... una vez que lo encontraron cag..fuiste!
- Usar alguna función como la siguiente para filtrar todos los campos que se envíen por email y evitar que usen tu script para mandar spam através de tu servidor:

Código PHP:

  function ValidarDatos($campo){ 
        $badHeads = array("Content-Type:", 
                                 "MIME-Version:", 
                                 "Content-Transfer-Encoding:", 
                                 "Return-path:", 
                                 "Subject:", 
                                 "From:", 
                                 "Envelope-to:", 
                                 "To:", 
                                 "bcc:", 
                                 "cc:"); 
        foreach($badHeads as $valor){  
            if(strpos(strtolower($campo), strtolower($valor)) !== false){  
                header("HTTP/1.0 403 Forbidden");  
                header("Status: 403 Forbidden");  
                exit; 
            } 
        } 
    } 
    foreach($_POST as $k=>$v) { 
      ValidarDatos($v); 
    }

Saludos

waloweb · #4 (**permalink**) 07/10/2008, 06:41

Gracias korg1988 y geq: con lo que me detallaron + otro que encontre en el foro para chequear que no se envien los campos vacios quedaría as el .php: esta correcto? (disculpen php es chino 4me)

Código PHP:

  <?php 
 
$mail='[email protected]'; 
 
 
$nombre = $_POST['nombre']; 
$email = $_POST['email']; 
$mensaje = $_POST['mensaje']; 
 
isset ($_POST['nombre']);  // esto encontré para no dejar campos en blanco // 
isset ($_POST['email']);  
isset ($_POST['mensaje']); 
 
 
$thank="gracias.html"; 
 
$message = " 
nombre:".$nombre." 
email:".$email." 
mensaje:".$mensaje.""; 
 
if (mail($mail,"Formulario de Consulta",$message)) 
Header ("Location: $thank"); 
 
 
function ValidarDatos($campo){ 
        $badHeads = array("Content-Type:", 
                                 "MIME-Version:", 
                                 "Content-Transfer-Encoding:", 
                                 "Return-path:", 
                                 "Subject:", 
                                 "From:", 
                                 "Envelope-to:", 
                                 "To:", 
                                 "bcc:", 
                                 "cc:"); 
        foreach($badHeads as $valor){  
            if(strpos(strtolower($campo), strtolower($valor)) !== false){  
                header("HTTP/1.0 403 Forbidden");  
                header("Status: 403 Forbidden");  
                exit; 
            } 
        } 
    } 
    foreach($_POST as $k=>$v) { 
      ValidarDatos($v); 
    }   
 
?>

geq · #5 (**permalink**) 07/10/2008, 06:45

¡Validá los campos antes de la función mail!

Saludos

waloweb · #6 (**permalink**) 07/10/2008, 06:51

Cita:

Iniciado por geq

¡Validá los campos antes de la función mail!

Saludos

Cómo sería eso? (ya me da verguanza la ignorancia)

geq · #7 (**permalink**) 07/10/2008, 06:58

Jaja que no te de verguenza. Es la mejor forma de aprender.

Que la función mail() quede al final del script. Después de hacer todo el proceso de validación y demás recién se envía el mensaje. (Lo único que debería estar después es el haeder)

La función puede quedar al final, o en cualquier lugar.
Pero ésta se ejecuta con el foreach

Código PHP:

  foreach($_POST as $k=>$v) {  
      ValidarDatos($v);  
    }

que lo que hace es pasar por la función ValidarDatos() cada variable que entra por POST. Si la ponés después de mail(), realizará la comprobación después de haber enviado el email y si encontró algo que no debe mandar el email ya va a haber sido enviado.

¿Se entiende?

Saludos

waloweb · #8 (**permalink**) 07/10/2008, 07:46

gracias geq: sabes q lo pongo arriba del todo y tampoco funciona :(

geq · #9 (**permalink**) 07/10/2008, 16:05

Te quedaría algo así:

Código PHP:

  <?php  
 
$mail='[email protected]';  
$thank="gracias.html"; 
$error="error.html"; // página de error si no completó correctamente 
 
foreach($_POST as $k=>$v) {  
    ValidarDatos($v);  
} 
 
$nombre = $_POST['nombre'];  
$email = $_POST['email'];  
$mensaje = $_POST['mensaje'];  
 
if(!$nombre||!$email||!$mensaje) { 
   header("Location: $error"); 
   die(); 
} 
 
$message = "nombre:".$nombre."\nemail:".$email."\nmensaje:".$mensaje;  
 
if (mail($mail,"Formulario de Consulta",$message)) Header ("Location: $thank");  
 
die(); 
 
function ValidarDatos($campo){  
        $badHeads = array("Content-Type:",  
                                 "MIME-Version:",  
                                 "Content-Transfer-Encoding:",  
                                 "Return-path:",  
                                 "Subject:",  
                                 "From:",  
                                 "Envelope-to:",  
                                 "To:",  
                                 "bcc:",  
                                 "cc:");  
        foreach($badHeads as $valor){   
            if(strpos(strtolower($campo), strtolower($valor)) !== false){   
                header("HTTP/1.0 403 Forbidden");   
                header("Status: 403 Forbidden");   
                exit;  
            }  
        }  
} 
?>

Poné atención en $message y que isset() por si solo no hace nada, tenés que ponerlo como una condición, o se podría reemplazar perfectamente por lo que puse allí.

Saludos.