Formulare

[Heideroosjes]

Hey Leute!

Ich besitze eine Webseite, auf welcher ich CD's zum Verkauf anbiete. Da ein Formular (Name, Adresse, Menge etc.) noch praktisch ist, wollte ich auch eins einbauen. Ich habe aber nur eines, welches mit dem Befehl "form action="mailto:ertg@srtu.srt". Aber da kommt ein Fenster auf, und man muss seine E-Mailadresse eingeben und so. Ich habe gemerkt, dass das die Kunden abschreckt. Gibt es nicht eine Möglichkeit, dass man die Daten (Name, Adresse, Menge etc.) eingibt, dann den "Abschicken"-Button drücken kann und dann wird dieses Formular an meine E-mail-Adresse gesendet, ohne dass der Kunde diverse Dinge eingeben muss. Ich habe es vielleicht etwas kompliziert beschrieben. Es sollte einfach so sein wie die Bestellformulare in den professionellen Online-Shops. Ein Kollege hat mir gesagt, das es mit Java gehen würde, aber ich kenne mich da überhaupt nicht aus!

Ich hoffe ihr könnt mir helfen!

Gruss Heideroosjes alias Benjamin Marti

 

[NC]

Ja, geht ziemlich einfach mit PHP:
http://aktuell.de.selfhtml.org/tippstricks/php/form-mail/

 

[Jürgen Auer]

Wenn man sich nicht systematisch - also kontinuierlich und hinreichend gründlich - mit solchen Themen beschäftigt, sollte man meines Erachtens nach die Finger davon lassen, irgendwelche Scripte zu verwenden oder etwas selbst 'zu programmieren'. Die Möglichkeiten für Schäden (offene Mailrelays, Sql-Injektionen und ähnliches) sind so umfangreich, daß das nur schiefgehen kann.

 

[NC]

QUOTE (jAuer @ Di 18.4.2006, 13:51) Wenn man sich nicht systematisch - also kontinuierlich und hinreichend gründlich - mit solchen Themen beschäftigt, sollte man meines Erachtens nach die Finger davon lassen, irgendwelche Scripte zu verwenden oder etwas selbst 'zu programmieren'. Die Möglichkeiten für Schäden (offene Mailrelays, Sql-Injektionen und ähnliches) sind so umfangreich, daß das nur schiefgehen kann.

Sorry, war nur ein Beispiel

 

[Heideroosjes]

dann gibt es keine lösung für mein problem in html? nur in php? das verstehe ich dann überhaupt nicht mehr...

 

[Tim Blog]

@jAuer
Ich habe gerade mal ein wenig nach den von Dir angeführten Stichworten gesucht, und zwar ein paar Definitionen gefunden (offenes Mail Relay) jedoch nicht so richtig verstanden wo die Gefahren bestehen und wie man sich davor schützen kann.

mfg

 

[Jürgen Auer]

QUOTE (Heideroosjes @ Di 18.4.2006, 20:10)dann gibt es keine lösung für mein problem in html? nur in php? das verstehe ich dann überhaupt nicht mehr...

Lösungen gibt es schon, aber die sind kostenpflichtig, dafür aber auch hinreichend abgesichert. Da sich eine Web-Datenbank nicht für ein Formular lohnt, kann man natürlich noch einen Newsletter und ein Kontaktformular damit betreiben, weitere interne Tabellen nutzen oder - gerade in Arbeit - Rechnungen als PDF-Dokumente versenden - und das ganze nur mit Html-Kenntnissen. Der Rest ergibt sich aus meiner Signatur.

@Tim Ehling: Wenn man mit PHP (ich verwende das nicht, deshalb weiß ich aktuell die Funktion nicht) direkt eine Mail versendet, hat man (sehr grob) einen Ausdruck der Form


CODE mailversenden("Eigene Mail", "Zielmail", "Subject", "Body", "weitere Header")


Das ganze wird wohl relativ unbedarft zusammengesetzt. Wenn man als 'Zielmail' direkt die Eingabe nutzt, die ein Benutzer eingegeben hat und dieser 'info@example.com' verwendet hat, ist alles bestens.

Verwendet er aber


CODE info@example.com
CC: erstes-spamopfer@zugespammte-domain.de,zweites-spamopfer@zugespammte-domain.de

Hallo - Ihr müßt dringend das neueste ... kaufen

Viele Grüße - hier gehts lang ...www.zieldomain.de


dann ist das etwas wie Sql-Injektionen - nur daß sich hier mit einem Absenden tausende Mails versenden lassen - also in der Wirkung wie ein offener Mailserver.

 

[Tim Blog]

Das heisst aber, wenn ich das richtig verstanden hab, dass solang die Formulare an eine feste Mailadresse geschickt werden das ganz nicht "offen" ist? Ich nutze folgenden Code für meine Kontakt Formulare:

CODE mail($meine_email[$i], $email_subject, $message);


Ist das auch unsicher?

vielen Dank für Deine Hilfe.

mfg

 

[Jürgen Auer]

Ich bin kein PHP-Verwender. Aber wenn ich DrWeb auf die Schnelle einigermaßen verstehe und wenn das $email_subject ebenfalls von dir vorgegeben ist, dann kann über das $message-Element kein Unsinn mehr angerichtet werden, da ja die Mailheader zu diesem Zeitpunkt bereits definiert sind.

Kann der Nutzer $email_subject festlegen, dann kann er natürlich damit auch den Header erweitern. Allerdings weiß ich aktuell nicht, ob die Reihenfolge (from, to, CC, Subject) fest vorgegeben oder variabel ist, das spielt ja auch noch mit hinein.

QUOTE dass solang die Formulare an eine feste Mailadresse geschickt werden


Das ist in dieser Allgemeinheit auf jeden Fall falsch, falls der vierte PHP-Parameter genutzt wird.

 

[Heideroosjes]

noch einmal: gibt es eine lösung in HTML?

mfg & vielen dank

 

[NC]

QUOTE (Heideroosjes @ Mi 19.4.2006, 16:16) noch einmal: gibt es eine lösung in HTML?

mfg & vielen dank

Nein, mit HTML kannst du keine Formulare verarbeiten.

 

[Jürgen Auer]

QUOTE (Heideroosjes @ Mi 19.4.2006, 16:16)noch einmal: gibt es eine lösung in HTML?

kostenpflichtig: Ja.

 

[coaching]

QUOTE (Tim Ehling @ Di 18.4.2006, 21:21) @jAuer
Ich habe gerade mal ein wenig nach den von Dir angeführten Stichworten gesucht, und zwar ein paar Definitionen gefunden (offenes Mail Relay) jedoch nicht so richtig verstanden wo die Gefahren bestehen und wie man sich davor schützen kann.

mfg

Also nur um das noch zu erwähnen:

Gefährlich ist sowas nicht bloß bei einem offenen Mailrelay...
Grundsätzlich sollten alle Daten, ob als POST, GET oder wie auch immer an das Skript übergeben, vor der Weiterverarbeitung geprüft werden, sei es auf Länge, enthaltene Zeichen(-ketten) etc.
Alles was von außen verändert werden kann, kann eventuelle Sicherheitsrisiken enthalten, wenn es nicht geprüft wird.
Und für sowas hat PHP so tolle Sachen wie preg_match, strip_tags, strlen etc.

 

[René Weber]

Hast du einen seriösen Hoster? Falls ja, frag ihn einmal ob er dir nicht ein cgi-bin mit formmail.pl (ein PERL Script) zur Verfügung stellen könnte.
Weitere Informationen findest du hier: Formmail

Warum seriös? Damit er Mail-Relay nur innerhalb des eigenen Servers erlaubt und keine Weiterleitung nach aussen.

Cheers, René

 

[austinpowers]

hi

um nochmals deine frage wegen "html" zu beantworten: leider kannst du in html selber keine formulare bearbeiten. ich würde dir drei varianten vorschlagen, wie du dein problem lösen kannst.
die eine möglichkeit besteht meiner meinung nach darin, dass du dich intensiv mit php beschäftigst. (braucht narülich viel zeit und geduld..) php eignet sich bestens für die lösung deines problems!
die zweite möglichkeit wäre, dass du dir jemanden suchst, der dir dein formular in codet. schliesslich wäre es natürlich auch möglich, dass du deinen shop mit einem fertigen cms (content-management-system) aufbaust und verwaltest, z.b. mit joomla. dafür brauchst du allerdings ebenfalls zeit und geduld, da ein cms richtig verstanden und gepflegt werden muss, um damit reibungslos arbeiten zu können. trotzdem, hier ein link zu joomla. http://www.joomla.de/

also mach es noch gut... nicht aufgeben.

andy