Securitate - Formularul de contact

Continuand cu articolele despre securitatea aplicatiilor web, astazi vorbim despre securizarea formularului de contact.

Mai toata lumea are unul pe site si ni se pare banal. Ei, pe cat de simplu pare pe atat de usor poate fi folosit in scopuri nu tocmai ortodoxe.

Luam cazul clasic in care datele din formular pleaca pe un mail si nu intra in baza de date (aici campurile pot fi injectate cu SQL - lucru de care vom vorbi in alt articol cel mai probabil), ci pleaca pe mail cum se intampla pe majoritatea site-urilor.

Pericol: un utilizator rau intentionat iti poate folosi formularul pentru a trimite spam.

Cum: destul de simplu, trimite in campurile tale un header cu un BCC plin de liste de mail, serverul va trimite mailul la adresa din campul mail si cu BCC la toate adresele din lista introdusa de spammer.

Rezolvare: cel mai usor ar fi ca la validarea campurilor sa nu lasati caractere de tipul "@" sa treaca, se pot face insa si alte validari mai complicate.

Evident, nu trebuie sa mai spun ca la campul "email" nu trebuie sa aiba loc decat un mail, sa nu poata fi pus 100 de adrese cu , intre ele.

Articolul de fata vorbeste despre securizarea formularelor de contact in linii mari, cititorii trebuind sa aiba cunostinte minimale de programare pentru a pune in practica sfaturile.