Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: formularz email + prosty token
Forum PHP.pl > Forum > PHP
derbich
9.02.2011, 18:16:50
Mam działający formularz do wysyłania emaili ze strony internetowej. Chciałbym go zabezpieczyć tokenem. Stworzyłem pięć obazków gif + kod na stronie ale nie działa mi on. Czy możecie spojrzeć i podpowiedzieć gdzie popełniłem błąd? oto kod:
[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3. $_SESSION['token'] = '';
  4. ?>
  5. <?php
  6. for($i=0;$i<5;$i++) {
  7.  $liczba = rand(0,5);
  8.  $_SESSION['token'] .= $liczba;
  9.  $img .= '<img src="'.$liczba.'.gif" />';
  10. }
  11. ?>
  12. <?php
  13.  
  14. if ($_POST['bt'] == "submit") { 
  15.  if (($_POST['email'] != "") AND ($_POST['tytul'] != "") AND ($_POST['tresc'] != "") AND ($_POST['cod'] ==  $_SESSION['token'])) { 
  16.    $send = mail("contact@contact.com",$_POST['tytul'],$_POST['tresc'],"From: gallery webside <".$_POST['email'].">");
  17.    if ($send) 
  18.     header("Location: sent.html");
  19.     else
  20.      $message = "<font size='2px' color='ff4500' face='arial'> Server error, message did not sent. Please try again.</font>";
  21.  } else
  22.      $message = "<font size='2px' color='ff4500' face='arial'>All fields required, please check and try again.</font>"; 
  23. }
  24.  
  25. ?>
[PHP] pobierz, plaintext 


[HTML] pobierz, plaintext 
  1. <head>
  2. <title></title>
  3.   <meta name="generator" content="Bluefish 2.0.0" >
  4.   <meta name="author" content="" >
  5.   <meta http-equiv="content-type" content="text/html; charset=UTF-8">
  6.   <meta name="Robots" content="noindex">
  7.   <link rel="Shortcut icon" href="../graph/icon.png">
  8.   <style type="text/css">
  9. <!--
  10. td {
  11. 	 font-size: 11px; color: #ff7d4d; font-family: arial; 
  12. 	 }
  13. span {
  14. 	font-size: 8px;  color: #ff7d4d; font-family: arial; 
  15. 	}
  16. -->
  17. </style>
  18. </head>
  19. <body>
  20. <br><br>
  21. <table align="center" border="0">
  22. <tbody><tr>
  23. <td height="22px"><sup>*</sup>E-mail: </td>
  24. <td colspan="1" rowspan="3" valign="top">
  25. <form action="" method="post">
  26. <input type="text" name="email" value="<?php echo $email; ?>"><br>
  27. <input type="text" name="tytul" value="<?php echo $tytul; ?>"><br>
  28. <input type="text" name="cod"><?php echo $img; ?><br>
  29. <textarea name="tresc" cols="65" rows="14" ><?php echo $tresc; ?></textarea><br>
  30. <sup>*<span>Required</span></sup>
  31. <div align="right"><input type="submit" name="bt" value="submit"></div>
  32. </form>
  33. <div align="center"><?php echo $message ?></div>
  34. </td>
  35. </tr>
  36. <tr>
  37. <td height="22px"><sup>*</sup>Title:</td>
  38.  
  39. </tr>
  40. <tr>
  41.  
  42. <td height="210px" valign="top"><div style="position: relative; left: 0px; top: 55px;"><sup>*</sup>Mesage:</div> </td>
  43. </tr>
  44. </tbody></table>
  45. </body>
  46.  
[HTML] pobierz, plaintext


Wszystko to w jednym pliku "email.php". Podejrzewam, że coś jest nie tak z tą częścią: ($_POST['cod'] == $_SESSION['token']) ale za cholerę nie wiem co smile.gif

Z góry dziękuję;
AlexDeLarge
9.02.2011, 20:54:03
Po prostu ponownie generujesz ciąg znaków zamiast brać go z sesji ($_SESSION['token'] = ''; i kilka następnych linii na początku).
derbich
9.02.2011, 22:08:07
Próbuję na wszystkie sposoby ale nic z tego nie wychodzi. Najdziwniejsze jest to, że nawet jak nie wpiszę nic w komórkę to i tak wysyła maila.
Gligamesh
9.02.2011, 22:49:52
czyli wysyła pusty formularz ?

$_POST[''] != "" popracuj na tym, zobacz czy może zadziała Ci strlen($_POST['']) > 1

derbich
10.02.2011, 15:51:26
Witam;

Glupio sie przyznac ale za cholere nie umiem sobie z tym poradzic. Probowalem juz wszystkich kombinacji, ktore wydawaly sie sensowne.
pozdrawiam;
bleblok
10.02.2011, 16:39:53
Po pierwsze - co znaczy webside ?

Po drugie:
zerujesz token za każdym razem (nawet przy sprawdzaniu formularza)
[PHP] pobierz, plaintext 
  1. session_start();
  2. $_SESSION['token'] = '';
[PHP] pobierz, plaintext


i ustawiasz go na nowo
[PHP] pobierz, plaintext 
  1. $_SESSION['token'] .= $liczba;
[PHP] pobierz, plaintext


a dopiero potem sprawdzasz czy się tokeny zgadzają, z tym że sprawdzasz nowo wygenerowany token ze starym, który wyświetliłeś graficzkami.

Możesz zrobić tak:

[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3. if ( !isset($_POST['bt']) || $_POST['bt'] != "submit") { 
  4. $_SESSION['token'] = '';
  5.  
  6.  
  7. for($i=0;$i<5;$i++) {
  8.  $liczba = rand(0,5);
  9.  $_SESSION['token'] .= $liczba;
  10.  $img .= '<img src="'.$liczba.'.gif" />';
  11. }
  12.  
  13. }else { 
  14.  if (($_POST['email'] != "") AND ($_POST['tytul'] != "") AND ($_POST['tresc'] != "") AND ($_POST['cod'] ==  $_SESSION['token'])) { 
  15.    $send = mail("contact@contact.com",$_POST['tytul'],$_POST['tresc'],"From: gallery webside <".$_POST['email'].">");
  16.    if ($send) 
  17.     header("Location: sent.html");
  18.     else
  19.      $message = "<font size='2px' color='ff4500' face='arial'> Server error, message did not sent. Please try again.</font>";
  20.  } else
  21.      $message = "<font size='2px' color='ff4500' face='arial'>All fields required, please check and try again.</font>"; 
  22. }
  23.  
  24. ?>
[PHP] pobierz, plaintext
derbich
17.02.2011, 19:43:13
Działa!
Wielkie dzięki za pomoc;


Mam jeszcze jedno pytanie: zastosowałem funkcję 
[HTML] pobierz, plaintext 
  1.  value="<?php echo $email; ?>"
[HTML] pobierz, plaintext
aby przy błędnym wpisaniu kodu lub przy niewypełnieniu któregoś z wymaganych pól formularz nie był wyczyszczany. Niestety nic to nie daje i za każdym razem trzeba wszystkie pola wypełniać od nowa. Jak można temu zapobiec? smile.gif
pozdrawiam;

Napotkałem kolejny problem. Gdy wysyłam stronę na serwer to przy wczytywaniu otrzymuję taką informację:

Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /websites/123reg/LinuxPackage21/cr/oz/ie/croziergreen.com/public_html/beta/pages/email.php:1) in /websites/123reg/LinuxPackage21/cr/oz/ie/croziergreen.com/public_html/beta/pages/email.php on line 2

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /websites/123reg/LinuxPackage21/cr/oz/ie/croziergreen.com/public_html/beta/pages/email.php:1) in /websites/123reg/LinuxPackage21/cr/oz/ie/croziergreen.com/public_html/beta/pages/email.php on line 2

Dodam, że na moim komputerze nie ma tego problemu.
Z góry dziękuję za pomoc smile.gif
pozdrawiam;
greycoffey
17.02.2011, 20:03:28
Mała sprawa. Zamieszczasz kilka obrazków, z którymi bot sobie świetnie poradzi. Co za problem wyciąć kawałek z obrazkami, a następnie wyrażeniem regularnym wyciągnąć stamtąd liczby - jeśli chcesz się dobrze zabezpieczyć, musi być to jeden obrazek. Zobacz: http://pornel.net/captcha

Do tego kolejna sprawa związana z bezpieczeństwem. Przechowujesz wartość tokena w sesji, której identyfikator przechowujesz w ciasteczku. Jeśli usuniesz ciasteczko, skrypt wygeneruje nowy identyfikator, przez co $_SESSION['token'] = ''; - tak więc jeśli zostawisz pole, do którego masz wpisać token, i usuniesz to ciasteczko, uda się przejść przez to sprawdzanie.

Dwa ważne błędy. Albo robisz coś bezpieczne w powiedzmy 99,99% - gdzie ten 00,01% to czysty przypadek, albo korzystasz z gotowych rozwiązań (reCaptcha: http://www.google.com/recaptcha).
derbich
20.02.2011, 14:47:24
Witam;
Dzięki za pomoc. Chciałem skorzystać z "własnego' rozwiązania bo po prostu wygląda lepiej. Trudno, za słaby jestem na to więc trzeba będzie skorzystać z gotowego rozwiązania.
pozdrawiam;
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.