QUOTE (EmotionalFunction @ So 12.10.2008, 20:11) Also in Bezug auf Sicherheit: man kanns auch übertreiben!
Scheinbar handelt es sich doch hier um eine private Website, auf der ein Formular eingerichtet wird, um Anfragen an die
eigene Mailadresse schicken zu lassen.
Also beim Empfänger eifnach nicht mit Variablen arbeiten und schon hat sich die Sache. Merkt er, dass Mails ankommen, wo versucht wird Schadcode einzubringen, dann kann ers immernoch offline nehmen und überarbeiten. Oder nachträglich immer noch einen Captcha bei Massenmails einarbeiten, oder Cookies setzen, damit nur alle 15min. Mails versendet werden können von einer gleichen ClientIP...
Ich kann dem Beitrag nur beipflichten.
Natürlich ist Sicherheit wichtig, übertreiben muss man es dennoch nicht.
Ich für meinen Teil halte meine Formular
bewusst wieder vermehrt unsicher, da es mit unter schlicht anwenderfreundlich ist. Totale Sicherheit gibt's nie, das musste selbst Google feststellen, als durch einen kleinen miesen Trick tausende Gmail-Accounts freigeschaltet wurden.
Ich persönlich mache immer wieder die Erfahrung, dass bereits der Einbau eines <option> oder <checkbox> Feldes im HTML-Formular für massiv nachlassende Spamattacken sorgt. Außerdem sage ich mir immer, dass ich als "Anbieter" auch die Pflicht habe mich auf ungewollte Post einzulassen. Niemals sollte der User zu sehr beansprucht werden.
Generell begrenze ich die mögliche Eingabelänge bei meinen Formularen. So ein Vorname besteht selten aus mehr als 15 Zeichen. Und wenn es wirklich um lange Zeichenketten geht (z.B. die eigentliche Nachricht), dann erfüllen banale Funktionen wie strip_tags und str_replace schon einiges an Sicherheit.
Außerdem lese ich mir hin und wieder auch mal ganz gerne etwas über Viagra und komfortable Penis-Streck-Maschinen durch