Martin Schultz <di020172@no.spam.diku.dk> wrote:
> Jeg har læst lidt om at der i tidligere versioner af
> php har der været sikkerhedsfejl i mail kommandoen.
>
> Er dette helt løst eller skal man selv forsøge at
> udføre validering af bruger input når man bruger
> funktionen?
Det skal man altid. Jo mere validering, jo faerre problemer vil der
slippe igennem til resten af din kode eller til resten af PHP
fortolkeren for den sags skyld.
> Som eksempel kan tages nedenstående eksempel på
> noget php kode. Vil der være nogen sikkerhedsfejl i det?
>
> mail("en_eller_anden@email.invalid",
> "Eksempel overskrift",
> "$data_fra_form1
> $data_fra_form2."
Jeg har ikke kigget i koden til PHP fortolkeren i lang tid, men hvis der
nogensinde bliver problemer igen, kan umiddelbar udnyttelse undgaas ved
at teste for indhold og laengde foer du lader bruger input komme rundt i
din kode.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.mongers.org