Foros del Web » Programando para Internet » PHP »

Dudas de Seguridad en código

Estas en el tema de Dudas de Seguridad en código en el foro de PHP en Foros del Web. Hola a todos, tengo hecho un formulario de contacto pero tengo dudas de su seguridad ya que en ocasiones me han llegado mails vacíos cuando ...
  #1 (permalink)  
Antiguo 05/05/2010, 11:18
 
Fecha de Ingreso: marzo-2009
Ubicación: España
Mensajes: 371
Antigüedad: 12 años, 2 meses
Puntos: 5
Dudas de Seguridad en código

Hola a todos, tengo hecho un formulario de contacto pero tengo dudas de su seguridad ya que en ocasiones me han llegado mails vacíos cuando el html tiene comprobación de campos y me preguntaba si podrían estar usando en .php para hacer estas acciones.

El código es el siguiente.

Código PHP:
<?php
$nombre 
'';

if(isset(
$_POST['nombre'])) {$nombre=$_POST['nombre'];} else {$nombre '';}
$apellidos=$_POST['apellidos'];
$empresa=$_POST['empresa'];
$email=$_POST['email'];
$asunto=$_POST['asunto'];
$mensaje=$_POST['mensaje'];

//Fin de recepción de datos

//Acción de envio
//-------------------------------------//
$para='[email protected]';
$mensaje='Mensaje enviado desde el formulario de su web con los siguientes datos:

Nombre: '
.$nombre.'
Apellidos: '
.$apellidos.'
Empresa: '
.$empresa.'
Email: '
.$email.'
Asunto: '
.$asunto.'
Mensaje: '
.$mensaje.'

'
;
$desde='Desde: Su Web <[email protected]>';
mail($para,$asunto,$mensaje,$desde);
header('Location: http://www.dominio.com/mensaje-enviado');
?>
Espero vuestra ayuda, muchas gracias.
  #2 (permalink)  
Antiguo 05/05/2010, 12:24
Avatar de Heli0s  
Fecha de Ingreso: abril-2010
Mensajes: 789
Antigüedad: 11 años, 2 meses
Puntos: 40
Respuesta: Dudas de Seguridad en código

En ningún momento compruebas que el campo mensaje no esté vacío, posiblemente no hayan escrito nada en el campo mensaje.

Un saludo
  #3 (permalink)  
Antiguo 05/05/2010, 12:34
Avatar de dargor  
Fecha de Ingreso: octubre-2009
Mensajes: 134
Antigüedad: 11 años, 8 meses
Puntos: 2
Respuesta: Dudas de Seguridad en código

valida con javascript que no esten vacios los campos
  #4 (permalink)  
Antiguo 05/05/2010, 12:35
Avatar de Heli0s  
Fecha de Ingreso: abril-2010
Mensajes: 789
Antigüedad: 11 años, 2 meses
Puntos: 40
Respuesta: Dudas de Seguridad en código

Yo lo validaría con ambos (JavaScript y PHP), ya que javascript se desactiva fácilmente.

Un saludo
  #5 (permalink)  
Antiguo 05/05/2010, 12:50
 
Fecha de Ingreso: julio-2009
Mensajes: 108
Antigüedad: 11 años, 11 meses
Puntos: 9
Respuesta: Dudas de Seguridad en código

yo validaria todos los campos y sobre todo el correo, si no como et vas a poner en contacto con el.
  #6 (permalink)  
Antiguo 05/05/2010, 16:05
 
Fecha de Ingreso: marzo-2009
Ubicación: España
Mensajes: 371
Antigüedad: 12 años, 2 meses
Puntos: 5
Respuesta: Dudas de Seguridad en código

Ya lo tengo con javascript, lo llama desde el html, pero si hago un formulario y lo pongo en otra web y en el botón utilizo la dirección de donde está el php pueden usar mi servidor para enviar correos.

Ejemplo, en la web http://www.web-fake.com pongo un formulario y en el action le pongo la dirección de donde está en php http://www.mi-web.com/function/send.php estarán utilizando mi servidor para enviar sus correos como si fuera yo.

Eso es lo que quisiera evitar.

Si vas a ver el código fuente del html podrás ver

Código HTML:
<form name="contact" method="post" action="function/send.php"  onsubmit="return Validations();"> 
Por lo que el piratilla sabrá donde está el archivo de envío y podrá utilizarlo a su antojo.

Como se podría controlar esto??

Gracias por las respuestas.
  #7 (permalink)  
Antiguo 06/05/2010, 02:23
Avatar de Heli0s  
Fecha de Ingreso: abril-2010
Mensajes: 789
Antigüedad: 11 años, 2 meses
Puntos: 40
Respuesta: Dudas de Seguridad en código

Con $_SERVER['HTTP_REFERER']; puedes saber desde donde han accedido a tu web, solo tienes que crear un condicional que compruebe que accedieron desde el script que tiene el formulario.

Un saludo
  #8 (permalink)  
Antiguo 06/05/2010, 02:27
 
Fecha de Ingreso: marzo-2009
Ubicación: España
Mensajes: 371
Antigüedad: 12 años, 2 meses
Puntos: 5
Respuesta: Dudas de Seguridad en código

Ese condicional iría en el send.php imagino?
  #9 (permalink)  
Antiguo 06/05/2010, 02:28
Avatar de Heli0s  
Fecha de Ingreso: abril-2010
Mensajes: 789
Antigüedad: 11 años, 2 meses
Puntos: 40
Respuesta: Dudas de Seguridad en código

Si send.php es el que envía el E-Mail, efectivamente.

Un saludo
  #10 (permalink)  
Antiguo 06/05/2010, 03:05
 
Fecha de Ingreso: marzo-2009
Ubicación: España
Mensajes: 371
Antigüedad: 12 años, 2 meses
Puntos: 5
Respuesta: Dudas de Seguridad en código

Ok, voy a probar, muchas gracias.
  #11 (permalink)  
Antiguo 06/05/2010, 03:37
Avatar de blekia  
Fecha de Ingreso: julio-2009
Mensajes: 204
Antigüedad: 11 años, 11 meses
Puntos: 6
Respuesta: Dudas de Seguridad en código

tambien puedes descargarte este PHP gratis... muy sencillo de utilizar y configurar:

http://www.directayuda.com/index.php...itemid=1&nav=0

salu2
__________________
Controla tu Página Web con cualquier navegador.

Etiquetas: seguridad
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 23:23.