Witam, chodzi o formularz kontaktowy/zamówienia. Ma działać na vel.pl. Wysyłając maila przy pomocy tego formularza na mój e-mail zamiast danych przysłał kawałek kodu html. Obsługa hostingu naisała że: "naglowki maila podawane w skrypcie funkcji mail() powinny byc oddzielane przez "\n", a nie "\r\n" - taka forme przyjmuja platformy unixowe". Zmieniłem to wg. wskazań no i już przychodzą prawidłowe dane ale podobno skrypt jest dziurawy, nie wiem jak go zabezpieczyc przed email injection czytalem o filtrach ale nie wiele tego w necie i nie wszystko dziala. Proszę o pomoc. Oto kod pliku zamowienie.php, kofu pliku z formularzem chyba nie ma potzreby wklejać.

[PHP] pobierz, plaintext 
<?php
$firma=$_POST['firma'];
$imieinaz=$_POST['imieinaz'];
$nazwaf=$_POST['nazwaf'];
$adres=$_POST['adres'];
$kod=$_POST['kod'];
$miasto=$_POST['miasto'];
$nip=$_POST['nip'];
$tel=$_POST['tel'];
$faks=$_POST['faks'];
$email=$_POST['email'];
$szkolenie=$_POST['szkolenie'];
$liczba=$_POST['liczba'];
$innaliczba=$_POST['innaliczba'];
 
$data=strftime(" %A, %d  %B  %Y");
$nadawca_imie = "[Zgłoszenie ze strony]";
$send_email ="d4nny89@gmail.com";
$temat = "[Zgłoszenie ze strony] - Informacja o zgłoszeniu - zamówieniu";
$headers = "MIME-Version: 1.0\n";
$headers .= "Content-type: text/html; charset=iso-8859-2\n";
$headers .=  "From: $nadawca_imie <$email>\n";
$body_mail = "<table width=600 border=0 cellpadding=1 cellspacing=2 align=center style=\"font-family: Verdana; font-size: 12px;\">
<tr>
<td colspan=2 align=center><b><u>".$temat."</u></b></td>
</tr>
<tr>
<td colspan=2 align=center> </td>
</tr>
 
<tr>
<td width=166 align=right>Firma:  </td>
<td width=424><div align=\"justify\"><b>".$firma."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Imię i Nazwisko:  </td>
<td width=424><div align=\"justify\"><b>".$imieinaz."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Nazwa firmy:  </td>
<td width=424><div align=\"justify\"><b>".$nazwaf."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Adres firmy:  </td>
<td width=424><div align=\"justify\"><b>".$adres."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Kod pocztowy:  </td>
<td width=424><div align=\"justify\"><b>".$kod."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Miasto:  </td>
<td width=424><div align=\"justify\"><b>".$miasto."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>NIP:  </td>
<td width=424><div align=\"justify\"><b>".$nip."</b></div></td>
</tr>
 
<tr>
<td align=right valign=top>Telefon(y):  </td>
<td align=left valign=top> <div align=\"justify\"><b>".$tel."</b></div></td>
</tr>
 
<tr>
<td align=right valign=top>Faks:  </td>
<td align=left valign=top> <div align=\"justify\"><b>".$faks."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Adres e-mail:  </td>
<td width=424><div align=\"justify\"><b>".$email."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Szkolenie:  </td>
<td width=424><div align=\"justify\"><b>".$szkolenie."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Liczba osób poddanych szkoleniu:  </td>
<td width=424><div align=\"justify\"><b>".$liczba."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Podaj inną liczbę, jeśli przekracza ona 10 osób:  </td>
<td width=424><div align=\"justify\"><b>".$innaliczba."</b></div></td>
</tr>
 
<tr>
<td colspan=2 align=center> </td>
</tr>
 
<tr>
<td colspan=2 align=center>Data przeslania zgłoszenia: $data</td>
</tr>
 
</table>";
 
mail($send_email,$temat,$body_mail,$headers);
 
print "<br><center>Zgłoszenie zostało wysłane</center>";
print "<br><center>skontaktujemy się z Tobą wkrótce</center>";
?>
[PHP] pobierz, plaintext 

Musisz wprowadzić dodatkowe funkcje walidacji danych z poszczególnych inputów. Możesz jeszcze dołożyć tokena i myślę, że te rozwiązania w dużej mierze rozwiążą te problemy Walidacje najlepiej za pomocą wyrażeń regularnych, dość mocno filtruj, to będziesz miał pewność, że zatrzymasz niechciane ataki.

tylko jak mam zastosować filtry, może jakiś kod podasz?

W takim przypadku musisz zobaczyć, czy w danym inpucie nie znajdują się pewne znaki.

[PHP] pobierz, plaintext 
<?php
 
if (eregi("r", $email) || eregi("\n", $email)) {
  die('Prawdopodobnie ktoś chce wstrzyknąć spam!');
}
 
?>
[PHP] pobierz, plaintext 

Taki kod pomoże wykryć Ci wstrzykiwany spam w MIME.

ale to tzreba zastosować do każdego pola formularza ? np.

[PHP] pobierz, plaintext 
<?php
$firma=$_POST['firma'];
if (eregi("r", $email) || eregi("\n", $email)) {
  die('Prawdopodobnie ktoś chce wstrzyknąć spam!');
}
 
$imieinaz=$_POST['imieinaz'];
if (eregi("r", $email) || eregi("\n", $email)) {
  die('Prawdopodobnie ktoś chce wstrzyknąć spam!');
}
?>
[PHP] pobierz, plaintext 

no tak.... ale możesz po zdefiniowaniu zmiennych:

[PHP] pobierz, plaintext 
<?php
$firma=$_POST['firma'];
$imieinaz=$_POST['imieinaz'];
$nazwaf=$_POST['nazwaf'];
$adres=$_POST['adres'];
$kod=$_POST['kod'];
$miasto=$_POST['miasto'];
$nip=$_POST['nip'];
$tel=$_POST['tel'];
$faks=$_POST['faks'];
$email=$_POST['email'];
$szkolenie=$_POST['szkolenie'];
$liczba=$_POST['liczba'];
$innaliczba=$_POST['innaliczba'];
if (eregi("r", $email) || eregi("\n", $email)) {
  die('Prawdopodobnie ktoś chce wstrzyknąć spam!');
}
if (eregi("r", $imieinaz) || eregi("\n", $imieinaz)) {
  die('Prawdopodobnie ktoś chce wstrzyknąć spam!');
}
...
?>
[PHP] pobierz, plaintext 

itd.

Przepuszczaj np. z pola "miasto" tylko znaki alfanumeryczne, sprawdzaj wszystko co się da. Zastosuj filtry i zabezpieczenia opisane np. w tym temacie http://forum.php.pl/index.php?showtopic=94213 - w ostateczności "przepisz kod z obrazka", aczkolwiek nie jest to zalecane, to ostateczność.