Warning: mail() href='function.mail': Permission denied: headers injec - PHP - Programmation
Marsh Posté le 28-05-2009 à 13:31:03
lien de l'explication du problème sur le site de l'hébergeur :
http://www.infomaniak.fr/support/faq/faq_home.php
Résolution de l'hébergeur à laquelle je ne comprend rien :
[url]
http://hosting.infomaniak.ch/support/faq/faq_home.php[/url]
merci de m'aider
a+
Marsh Posté le 28-05-2009 à 13:38:59
Si j'ai bien compris il faut que tu remplaces les \n et \r des variables que tu récupères en faisant par exemple ça après ton bloc if...else :
str_replace("\n", "", str_replace("\r", "", $message ));
Marsh Posté le 28-05-2009 à 13:42:11
C à dire ?
comprends tjs pas
Marsh Posté le 28-05-2009 à 13:54:11
Code :
|
Je ne sais pas si faut le faire juste pour message ou bien pour les autres champs. Mais bon dans le doute...
Et en passant : pour les noms de variables faudrait éviter de mettre des accents dedans pour limiter les problèmes.
Marsh Posté le 28-05-2009 à 14:11:19
Hum merci mais çà n'a rien changé.
tjs ce message :
Warning: mail() [function.mail]: Permission denied: headers injection (empty line) in /home/......../recupmail.php on line 51
la ligne 51 c'est :
mail($to, $mail, $msg, $headers);
Marsh Posté le 28-05-2009 à 14:21:43
Code :
|
Marsh Posté le 28-05-2009 à 14:35:21
merci mais
bin nan tjs pas
Marsh Posté le 28-05-2009 à 14:37:53
Bon alors essaye ça :
$msg= str_replace("\n", "", str_replace("\r", "", $msg));
$headers = str_replace("\n", "", str_replace("\r", "", $headers ));
juste avant le :
mail($to, $mail, $msg, $headers);
Marsh Posté le 28-05-2009 à 14:41:27
j'essaie de suite.
Précision :
j'ai fais une erreur ds le commentaire :
/* Destinataire (votre adresse e-mail) */
$to = 'xxxxxxxxx@xxxxxxxx';
c'est en faite :
/* Destinataire (mon adresse e-mail) */
$to = 'xxxxxxxx@xxxxxxx';
Marsh Posté le 28-05-2009 à 14:51:08
Yes çà fonctionne !!! Avec
$headers = str_replace("\n", "", str_replace("\r", "", $headers ));
Merci merci
a+
Marsh Posté le 29-12-2009 à 10:55:11
Salut à tous,
J'ai le meme probleme.
Quelqu'un pourrait-il m'aider?
Mon script:
<? $module = $_POST['module'];
$nom = $_POST['nom'];
$prenom = $_POST['prenom'];
$sexe = $_POST['sexe'];
$NomFichier = $_POST['NomFichier'];
$nationalite = $_POST['nationalite'];
$adresse = $_POST['adresse'];
$ville = $_POST['ville'];
$pays = $_POST['bp'];
$tel = $_POST['tel'];
$bureau = $_POST['bureau'];
$domicile= $_POST['domicile'];
$fax = $_POST['fax'];
$email = $_POST['email'];
$fonction_actuelle = $_POST['fonction_actuelle'];
$structure = $_POST['structure'];
$nom_contact = $_POST['nom_contact'];
$prenom_contact = $_POST['prenom_contact'];
$tel_contact = $_POST['tel_contact'];
$fax_contact= $_POST['fax_contact'];
$mail_contact = $_POST['mail_contact'];
$adresse_contact = $_POST['adresse_contact'];
$radiobutton = $_POST['radiobutton'];
$precis_bailleur = $_POST['structure'];
$precis_autre = $_POST['precis_autre'];
$experience1=$_POST['experience1'];
$employeur1=$_POST['employeur1'];
$periode1=$_POST['periode1'];
$activites1=$_POST['activites1'];
$experience2=$_POST['experience2'];
$employeur2=$_POST['employeur2'];
$periode2=$_POST['periode2'];
$activites2=$_POST['activites2'];
$experience3=$_POST['experience3'];
$employeur3=$_POST['employeur3'];
$periode3=$_POST['periode3'];
$activites3=$_POST['activites3'];
$experience4=$_POST['experience4'];
$employeur4=$_POST['employeur4'];
$periode4=$_POST['periode4'];
$activites4=$_POST['activites4'];
$cursus1=$_POST['cursus1'];
$annees1=$_POST['annees1'];
$diplome1=$_POST['diplome1'];
$ville1=$_POST['ville1'];
$cursus1=$_POST['cursus1'];
$annees1=$_POST['annees1'];
$diplome1=$_POST['diplome1'];
$ville2=$_POST['ville2'];
$cursus2=$_POST['cursus2'];
$annees2=$_POST['annees2'];
$diplome2=$_POST['diplome2'];
$ville3=$_POST['ville3'];
$cursus3=$_POST['cursus3'];
$annees3=$_POST['annees3'];
$diplome3=$_POST['diplome3'];
$ville4=$_POST['ville4'];
$cursus4=$_POST['cursus4'];
$annees4=$_POST['annees4'];
$diplome4=$_POST['diplome4'];
$declaration=$_POST['declaration'];
if ($declaration!=1)
{
echo("
<script language=\"javascript1.2\">
alert(\"VOUS DEVEZ DECLARER SUR L'HONNEUR QUE LES RENSEIGNEMENTS FOURNIS SONT COMPLETS ET EXACTS!....\" )
location.href=\"inscription2.php?sessID=$sessID\";
</script>
" );
}
else
{
/* PARAMETRAGE DU SCRIPT */
/* ENTREZ VOTRE ADRESSE EMAIL ENTRE LES GUILLEMETS*/
$dest="webmaster@nomdomaine.com";
$reponse=StripSlashes("Votre demande d'inscription a été prise en compte. Nous vous recontacterons très prochainement" );
/* FIN DU PARAMETRAGE */
/*
Form Mail +
Loïc Bresler
Script permettant d'envoyer un mail grâce à un formulaire sur un site. Ce qu'il fait de plus que les autres
c'est qu'il gère la priorité du message, les copies et permet d'envoyer un fichier joint si l'hébergeur le permet
(en gros presque tous sauf Online et Nexen)
Le script utilise une version de la classe Mail() développée par Leo West (lwest.free.fr) et modifiée par mes soins.
DESCRIPTION
this class encapsulates the PHP mail() function.
implements CC, Bcc, Priority headers
*/
class Mail
{
var $sendto= array();
var $from, $msubject;
var $acc= array();
var $abcc= array();
var $aattach= array();
var $priorities= array( '1 (Highest)', '2 (High)', '3 (Normal)', '4 (Low)', '5 (Lowest)' );
// Mail contructor
function Mail()
{
$this->autoCheck( true );
}
/* autoCheck( $boolean )
* activate or desactivate the email addresses validator
* ex: autoCheck( true ) turn the validator on
* by default autoCheck feature is on
*/
function autoCheck( $bool )
{
if( $bool )
$this->checkAddress = true;
else
$this->checkAddress = false;
}
/* Subject( $subject )
* define the subject line of the email
* $subject: any valid mono-line string
*/
function Subject( $subject )
{
$this->msubject = strtr( $subject, "\r\n" , " " );
}
/* From( $from )
* set the sender of the mail
* $from should be an email address
*/
function From( $from )
{
if( ! is_string($from) ) {
echo "Class Mail: error, From is not a string";
exit;
}
$this->from= $from;
}
/* To( $to )
* set the To ( recipient )
* $to : email address, accept both a single address or an array of addresses
*/
function To( $to )
{
// TODO : test validité sur to
if( is_array( $to ) )
$this->sendto= $to;
else
$this->sendto[] = $to;
if( $this->checkAddress == true )
$this->CheckAdresses( $this->sendto );
}
/* Cc()
* set the CC headers ( carbon copy )
* $cc : email address(es), accept both array and string
*/
function Cc( $cc )
{
if( is_array($cc) )
$this->acc= $cc;
else
$this->acc[]= $cc;
if( $this->checkAddress == true )
$this->CheckAdresses( $this->acc );
}
/* Bcc()
* set the Bcc headers ( blank carbon copy ).
* $bcc : email address(es), accept both array and string
*/
function Bcc( $bcc )
{
if( is_array($bcc) ) {
$this->abcc = $bcc;
} else {
$this->abcc[]= $bcc;
}
if( $this->checkAddress == true )
$this->CheckAdresses( $this->abcc );
}
/* Body()
* set the body of the mail ( message )
*/
function Body( $body )
{
$this->body= $body;
}
/* Send()
* fornat and send the mail
*/
function Send()
{
// build the headers
$this->_build_headers();
// include attached files
if( sizeof( $this->aattach > 0 ) ) {
$this->_build_attachement();
$body = $this->fullBody . $this->attachment;
}
// envoie du mail aux destinataires principal
for( $i=0; $i< sizeof($this->sendto); $i++ ) {
$res = mail($this->sendto[$i], $this->msubject,$body, $this->headers);
// TODO : trmt res
}
}
/* Organization( $org )
* set the Organisation header
*/
function Organization( $org )
{
if( trim( $org != "" ) )
$this->organization= $org;
}
/* Priority( $priority )
* set the mail priority
* $priority : integer taken between 1 (highest) and 5 ( lowest )
* ex: $m->Priority(1) ; => Highest
*/
function Priority( $priority )
{
if( ! intval( $priority ) )
return false;
if( ! isset( $this->priorities[$priority-1]) )
return false;
$this->priority= $this->priorities[$priority-1];
return true;
}
/* Attach( $filename, $filetype )
* attach a file to the mail
* $filename : path of the file to attach
* $filetype : MIME-type of the file. default to 'application/x-unknown-content-type'
* $disposition : instruct the Mailclient to display the file if possible ("inline" ) or always as a link ("attachment" )
* possible values are "inline", "attachment"
*/
function Attach( $filename, $filetype='application/x-unknown-content-type', $disposition = "inline" )
{
// TODO : si filetype="", alors chercher dans un tablo de MT connus / extension du fichier
$this->aattach[] = $filename;
$this->actype[] = $filetype;
$this->adispo[] = $disposition;
}
/* Get()
* return the whole e-mail , headers + message
* can be used for displaying the message in plain text or logging it
*/
function Get()
{
$this->_build_headers();
if( sizeof( $this->aattach > 0 ) ) {
$this->_build_attachement();
$this->body= $this->body . $this->attachment;
}
$mail = $this->headers;
$mail .= "\n$this->body";
return $mail;
}
/* ValidEmail( $email )
* return true if email adress is ok - regex from Manuel Lemos (mlemos@acm.org)
* $address : email address to check
*/
function ValidEmail($address)
{
if( ereg( ".*<(.+)>", $address, $regs ) ) {
$address = $regs[1];
}
if(ereg( "^[^@ ]+@([a-zA-Z0-9\-]+\.)+([a-zA-Z0-9\-]{2}|net|com|gov|mil|org|edu|int)\$",$address) )
return true;
else
return false;
}
/* CheckAdresses()
* check validity of email addresses
* if unvalid, output an error message and exit, this may be customized
* $aad : array of emails addresses
*/
function CheckAdresses( $aad )
{
for($i=0;$i< sizeof( $aad); $i++ ) {
if( ! $this->ValidEmail( $aad[$i]) ) {
echo "Class Mail, method Mail : invalid address $aad[$i]";
exit;
}
}
}
/********************** PRIVATE METHODS BELOW **********************************/
/* _build_headers()
* [INTERNAL] build the mail headers
*/
function _build_headers()
{
// creation du header mail
$this->headers= "From: $this->from\n";
$this->to= implode( ", ", $this->sendto );
if( count($this->acc) > 0 ) {
$this->cc= implode( ", ", $this->acc );
$this->headers .= "CC: $this->cc\n";
}
if( count($this->abcc) > 0 ) {
$this->bcc= implode( ", ", $this->abcc );
$this->headers .= "BCC: $this->bcc\n";
}
if( $this->organization != "" )
$this->headers .= "Organization: $this->organization\n";
if( $this->priority != "" )
$this->headers .= "X-Priority: $this->priority\n";
}
/*
* _build_attachement()
* internal use only - check and encode attach file(s)
*/
function _build_attachement()
{
$this->boundary= "------------" . md5( uniqid("myboundary" ) ); // TODO : variable bound
$this->headers .= "MIME-Version: 1.0\nContent-Type: multipart/mixed;\n boundary=\"$this->boundary\"\n\n";
$this->fullBody = "This is a multi-part message in MIME format.\n--$this->boundary\nContent-Type: text/plain; charset=us-ascii\nContent-Transfer-Encoding: 7bit\n\n" . $this->body ."\n";
$sep= chr(13) . chr(10);
$ata= array();
$k=0;
// for each attached file, do...
for( $i=0; $i < sizeof( $this->aattach); $i++ ) {
$filename = $this->aattach[$i];
$basename = basename($filename);
$ctype = $this->actype[$i]; // content-type
$disposition = $this->adispo[$i];
if( ! file_exists( $filename) ) {
echo "Class Mail, method attach : file $filename can't be found"; exit;
}
$subhdr= "--$this->boundary\nContent-type: $ctype;\n name=\"$basename\"\nContent-Transfer-Encoding: base64\nContent-Disposition: $disposition;\n filename=\"$basename\"\n";
$ata[$k++] = $subhdr;
// non encoded line length
$linesz= filesize( $filename)+1;
$fp= fopen( $filename, 'r' );
$data= base64_encode(fread( $fp, $linesz));
fclose($fp);
$ata[$k++] = chunk_split( $data );
/*
// OLD version - used in php < 3.0.6 - replaced by chunk_split()
$deb=0; $len=76; $data_len= strlen($data);
do {
$ata[$k++]= substr($data,$deb,$len);
$deb += $len;
} while($deb < $data_len );
*/
}
$this->attachment= implode($sep, $ata);
}
} // class Mail
$msg =null;
$msg .="----- FORMULAIRE D INSCRIPTION -------\n";
$msg .="\nNom : ".$nom."\n";
$msg .="\nPrenom : ".$prenom."\n";
$msg .="\nEmail: ".$email."\n";
$msg .="\nPays: ".$pays."\n";
$msg .="\nTél&éphone:".$tel."\n";
$msg .="\nSexe : ".$sexe."\n";
$msg .="\nNationalite : ".$nationalite."\n";
$msg .="\nadresse: ".$adresse."\n";
$msg .="\nville: ".$ville."\n";
$msg .="\nbureau:".$bureau."\n";
$msg .="\nDomicile: ".$domicile."\n";
$msg .="\nFax : ".$fax."\n";
$msg .="\nEmail: ".$email."\n";
$msg .="\nFonction_actuelle: ".$fonction_actuelle."\n";
$msg .="\nStructure:".$structure."\n";
$msg .="\nNom_contact : ".$nom_contact."\n";
$msg .="\nPrenom_contact : ".$prenom_contact."\n";
$msg .="\ntel_contact: ".$tel_contact."\n";
$msg .="\nfax_contact: ".$fax_contact."\n";
$msg .="\nadresse_contact:".$adresse_contact."\n";
$msg .="\nRadiobutton : ".$radiobutton."\n";
$msg .="\nPrecis_bailleur: ".$precis_bailleur."\n";
$msg .="\nPrecis_autre: ".$precis_autre."\n";
$msg .="\nExperience1:".$experience1."\n";
$msg .="\nEmployeur1 : ".$employeur1."\n";
$msg .="\nActivites1 : ".$activites1."\n";
$msg .="\nPeriode1: ".$Periode1."\n";
$msg .="\nExperience2:".$experience2."\n";
$msg .="\nEmployeur2 : ".$employeur2."\n";
$msg .="\nActivites2 : ".$activites2."\n";
$msg .="\nPeriode2: ".$Periode2."\n";
$msg .="\nExperience3:".$experience3."\n";
$msg .="\nEmployeur3 : ".$employeur3."\n";
$msg .="\nActivites3 : ".$activites3."\n";
$msg .="\nPeriode3: ".$Periode3."\n";
$msg .="\nExperience4:".$experience4."\n";
$msg .="\nEmployeur4 : ".$employeur4."\n";
$msg .="\nActivites4 : ".$activites4."\n";
$msg .="\nPeriode4: ".$Periode4."\n";
$msg .="\nCursus1 : ".$cursus1."\n";
$msg .="\nAnnees1: ".$annees1."\n";
$msg .="\nDiplome1: ".$diplome1."\n";
$msg .="\Ville1:".$ville2."\n";
$msg .="\nCursus2 : ".$cursus2."\n";
$msg .="\nAnnees2: ".$annees2."\n";
$msg .="\nDiplome2: ".$diplome2."\n";
$msg .="\Ville2:".$ville3."\n";
$msg .="\nCursus3 : ".$cursus3."\n";
$msg .="\nAnnees3 : ".$annees3."\n";
$msg .="\nDiplome3: ".$Diplome3."\n";
$msg .="\nVille3 : ".$ville3."\n";
$msg .="\nCursus4: ".$cursus4."\n";
$msg .="\nAnnees4: ".$annees4."\n";
$msg .="\Diplome4:".$diplome4."\n";
$msg .="\nVille4:".$ville4."\n";
$msg .="----- FIN FORMULAIRE D INSCRIPTION -------\n";
$subject=StripSlashes($subject);
$msg=StripSlashes($msg);
$msg="Message depuis votre site web:
$msg";
$m= new Mail; // create the mail
$m->From( "$email" );
$m->To( "$dest" );
$m->Subject( "$subject" );
$m->Body( $msg); // set the body
if ($email1!="" ) {
$m->Cc( "$email1" );
}
$m->Priority($priority) ;
if ("$NomFichier_name"!="" ) {
copy("$NomFichier","../upload/$NomFichier_name" );
$m->Attach( "../upload/$NomFichier_name", "application/octet-stream" );
}
$m->Send();
if ("$NomFichier_name"!="" ) {
Unlink("../upload/$NomFichier_name" ); }
echo "$reponse";
}
?>
Marsh Posté le 29-12-2009 à 18:00:04
1. La prochaine fois, crée un nouveau topic.
2.
Form Mail + |
=> on ne fait pas le support des trucs que tu vas choper à droite et à gauche sur le net.
Fermeture du sujet.
Marsh Posté le 28-05-2009 à 11:05:54
Salut à tous,
j'ai donc cette erreur et cela viendrai de l'hébergeur qui a mis une sécurité.
Je dois faire çà mais je comprend rien à la manip :
Quelques sites ont été victimes d'une attaque distribuée visant à envoyer un mailing en masse de spam via des sites client.
En effet, des spammeurs ont répertorié toutes les pages ayant un formulaire de contact envoyant un email. Plusieurs sites hébergé chez nous et dans le monde ont donc été exploité de la même façon.
Ils se sont servis d'une faille existante dans beaucoup de formulaires de contact qui ne vérifient pas la présence de retour de ligne dans certains champs, en particulier celui de l'e-mail de l'expéditeur à compléter dans les formulaires.
Vous pouvez éviter que cela se produise, soit en désactivant le script PHP de contact e-mail de votre site, soit en vous assurant qu'il n'y a pas de retour de ligne dans chacun des champs du formulaire de contact de votre site.
Voici comment éviter simplement que ceci soit exploitable en remplaçant les retours de ligne dans chacun des champs devant normalement contenir un email (ce champ est souvent nommé $email, $sender ou $from):
$EMAIL = str_replace("\n", "", str_replace("\r", "", $EMAIL));
Le spammer exploite les scripts ressemblant à ceci
$MESSAGE = $_POST[msg];
$RECIPIENT = "webmaster@votredomaine.com";
$SUBJECT = "Formulaire de contact";
$EMAIL = $_POST[email];
// Sans cette ligne votre script est exploitable !!!!
$EMAIL = str_replace("\n", "", str_replace("\r", "", $EMAIL));
mail($RECIPIENT, $SUBJECT, $MESSAGE, "From: $EMAIL" );
Merci de bien vouloir vérifier ceci dans vos scripts PHP.
Mon script :
<?php
/* Récupération des valeurs des champs du formulaire */
if (get_magic_quotes_gpc())
{
$Nom = stripslashes($_POST['Nom']);
$société = stripslashes($_POST['société']);
$mail = stripslashes($_POST['mail']);
$Prénom = stripslashes($_POST['Prénom']);
$message = stripslashes($_POST['message']);
}
else
{
$Nom = $_POST['Nom'];
$société = $_POST['société'];
$email = $_POST['mail'];
$Prénom = $_POST['Prénom'];
$message = $_POST['message'];
}
/* Destinataire (votre adresse e-mail) */
$to = 'via.creation@orange.fr';
/* Construction du message */
$msg = 'Bonjour,'."\r\n\r\n";
$msg .= 'Ce mail a été envoyé depuis la page Devis pour la Machine à Bois par M. '.$Nom.' '.$Prénom.' de la société '.$société."\r\n\r\n";
$msg .= 'son adresse e-mail est :'.$mail."\r\n";
$msg .= 'Voici le message qui vous est adressé :'."\r\n";
$msg .= '***************************'."\r\n";
$msg .= $message."\r\n";
$msg .= '***************************'."\r\n";
$msg .= 'Et les caractéristiques souhaité pour leur machine à bois personnalisé :'."\r\n";
/* En-têtes de l'e-mail */
$headers = 'From: '.$nom.' <'.$mail.'>'."\r\n\r\n";
/* Envoi de l'e-mail */
mail($to, $mail, $msg, $headers);
?>
merci de m'aider
a+
---------------
ploum ploum tralala