Dudas de Seguridad en código

NazCarLpa · #1 (**permalink**) 05/05/2010, 11:18

Hola a todos, tengo hecho un formulario de contacto pero tengo dudas de su seguridad ya que en ocasiones me han llegado mails vacíos cuando el html tiene comprobación de campos y me preguntaba si podrían estar usando en .php para hacer estas acciones.

El código es el siguiente.

Código PHP:

  <?php 
$nombre = ''; 
 
if(isset($_POST['nombre'])) {$nombre=$_POST['nombre'];} else {$nombre = '';} 
$apellidos=$_POST['apellidos']; 
$empresa=$_POST['empresa']; 
$email=$_POST['email']; 
$asunto=$_POST['asunto']; 
$mensaje=$_POST['mensaje']; 
 
//Fin de recepción de datos 
 
//Acción de envio 
//-------------------------------------// 
$para='[email protected]'; 
$mensaje='Mensaje enviado desde el formulario de su web con los siguientes datos: 
 
Nombre: '.$nombre.' 
Apellidos: '.$apellidos.' 
Empresa: '.$empresa.' 
Email: '.$email.' 
Asunto: '.$asunto.' 
Mensaje: '.$mensaje.' 
 
'; 
$desde='Desde: Su Web <[email protected]>'; 
mail($para,$asunto,$mensaje,$desde); 
header('Location: http://www.dominio.com/mensaje-enviado'); 
?>

Espero vuestra ayuda, muchas gracias.

Heli0s · #2 (**permalink**) 05/05/2010, 12:24

En ningún momento compruebas que el campo mensaje no esté vacío, posiblemente no hayan escrito nada en el campo mensaje.

Un saludo

dargor · #3 (**permalink**) 05/05/2010, 12:34

valida con javascript que no esten vacios los campos

Heli0s · #4 (**permalink**) 05/05/2010, 12:35

Yo lo validaría con ambos (JavaScript y PHP), ya que javascript se desactiva fácilmente.

Un saludo

ofertasdelocura · #5 (**permalink**) 05/05/2010, 12:50

yo validaria todos los campos y sobre todo el correo, si no como et vas a poner en contacto con el.

NazCarLpa · #6 (**permalink**) 05/05/2010, 16:05

Ya lo tengo con javascript, lo llama desde el html, pero si hago un formulario y lo pongo en otra web y en el botón utilizo la dirección de donde está el php pueden usar mi servidor para enviar correos.

Ejemplo, en la web http://www.web-fake.com pongo un formulario y en el action le pongo la dirección de donde está en php http://www.mi-web.com/function/send.php estarán utilizando mi servidor para enviar sus correos como si fuera yo.

Eso es lo que quisiera evitar.

Si vas a ver el código fuente del html podrás ver

Código HTML:

<form name="contact" method="post" action="function/send.php"  onsubmit="return Validations();">

Por lo que el piratilla sabrá donde está el archivo de envío y podrá utilizarlo a su antojo.

Como se podría controlar esto??

Gracias por las respuestas.

Heli0s · #7 (**permalink**) 06/05/2010, 02:23

Con $_SERVER['HTTP_REFERER']; puedes saber desde donde han accedido a tu web, solo tienes que crear un condicional que compruebe que accedieron desde el script que tiene el formulario.

Un saludo

NazCarLpa · #8 (**permalink**) 06/05/2010, 02:27

Ese condicional iría en el send.php imagino?

Heli0s · #9 (**permalink**) 06/05/2010, 02:28

Si send.php es el que envía el E-Mail, efectivamente.

Un saludo

NazCarLpa · #10 (**permalink**) 06/05/2010, 03:05

Ok, voy a probar, muchas gracias.

blekia · #11 (**permalink**) 06/05/2010, 03:37

tambien puedes descargarte este PHP gratis... muy sencillo de utilizar y configurar:

http://www.directayuda.com/index.php...itemid=1&nav=0

salu2