Shopsystem ShopPilot

ShopPilot => Shopbetrieb => Thema gestartet von: dobra am Mai 16, 2009, 09:58:02

Titel: Sicherheitsfrage zu manuellem Mailversand
Beitrag von: dobra am Mai 16, 2009, 09:58:02

Hallo,

wenn ich mails unter diesen Bedingungen versende, ist es dann noch nötig zusätzliche Sicherheitsabfragen nach ungültigen Zeichen einzubauen oder kann das - da ja kein direkter Versand über Formular erfolgt - eh nicht "missbraucht" werden?

if (Bedingung) { neuen Wert in DB schreiben
    ...
    my $err = ssp::get_last_sqlerr();
        if (!$err) {
           DB-Abfrage # email etc
      if ($count >= 0) {
         for($i; $i < $count; $i++) {
            my $email = ssp::get_var_db("EMAIL",$i);
            my $titel = mylib::myqform(ssp::get_var_form("atitel"));
                   ....
            
               my $prog = ssp::get_mailprog(); # Pfad zum Mailprogramm
               my $mailtext = qq| xx|;

                  open(MAIL,"|$prog -t");
                  print MAIL "From: office\@woll-insel.at\n";
                  print MAIL "To: $email\n";
                  print MAIL "Subject: es wurde ein neuer Kommentar zu Artikel \"$titel\" geschrieben\n\n";
                  print MAIL $mailtext;
                  close(MAIL);      
               }
            }   
         }
         else { $errmsg = "Fehler";
         }
 }

Titel: Re: Sicherheitsfrage zu manuellem Mailversand
Beitrag von: admin am Mai 16, 2009, 14:58:22

Halllo Dobra,

alles was durch Benutzereingaben aus einem Formular kommt,
muss geprüft werden. Soweit das aber alles aus internen Quellen kommt,
sollte es so ok sein.

Gruß hop