PHP

Warning: mail() [function.mail]: Permission denied: headers injection

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Warning: mail() [function.mail]: Permission denied: headers injection

mufutah

Bjr,
Mon hebergeur à mis une sécurité et du coup, mon formulaire d'envoi de mail me renvoi cette erreur:
Warning: mail() [function.mail]: Permission denied: headers injection (empty line) in

Voila ce que mon hebergeur dit:

Citation :

Quelques sites ont été victimes d'une attaque distribuée visant à envoyer un mailing en masse de spam via des sites client.

En effet, des spammeurs ont répertorié toutes les pages ayant un formulaire de contact envoyant un email. Plusieurs sites hébergé chez nous et dans le monde ont donc été exploité de la même façon.

Ils se sont servis d'une faille existante dans beaucoup de formulaires de contact qui ne vérifient pas la présence de retour de ligne dans certains champs, en particulier celui de l'e-mail de l'expéditeur à compléter dans les formulaires.

Vous pouvez éviter que cela se produise, soit en désactivant le script PHP de contact e-mail de votre site, soit en vous assurant qu'il n'y a pas de retour de ligne dans chacun des champs du formulaire de contact de votre site.

Voici comment éviter simplement que ceci soit exploitable en remplaçant les retours de ligne dans chacun des champs devant normalement contenir un email (ce champ est souvent nommé $email, $sender ou $from):

$EMAIL = str_replace("\n", "", str_replace("\r", "", $EMAIL));

Le spammer exploite les scripts ressemblant à ceci

$MESSAGE = $_POST[msg];
$RECIPIENT = "webmaster@votredomaine.com";
$SUBJECT = "Formulaire de contact";
$EMAIL = $_POST[email];

// Sans cette ligne votre script est exploitable !!!!
$EMAIL = str_replace("\n", "", str_replace("\r", "", $EMAIL));

mail($RECIPIENT, $SUBJECT, $MESSAGE, "From: $EMAIL" );

Merci de bien vouloir vérifier ceci dans vos scripts PHP.

mon script

Code :

<? $module = $_POST['module'];
$nom = $_POST['nom'];
$prenom = $_POST['prenom'];
 
$dest="webmaster@domaine.com";
 
$reponse=StripSlashes("Votre demande d'inscription a été prise en compte. Nous vous recontacterons très prochainement" );
 
class Mail
{
 
        var $sendto= array();
        var $from, $msubject;
        var $acc= array();
        var $abcc= array();
        var $aattach= array();
        var $priorities= array( '1 (Highest)', '2 (High)', '3 (Normal)', '4 (Low)', '5 (Lowest)' );
 
 
function Mail()
{
        $this->autoCheck(
         true );
}
 
function autoCheck( $bool )
{
        if( $bool )
                $this->checkAddress = true;
        else
                $this->checkAddress = false;
}
 
 
function Subject( $subject )
{
        $this->msubject = strtr( $subject, "\r\n" , "  " );
}
 
function From( $from )
{
 
        if( ! is_string($from) ) {
                echo "Class Mail: error, From is not a string";
                exit;
        }
        $this->from= $from;
}
function To( $to )
{
 
        if( is_array( $to ) )
                $this->sendto= $to;
        else
                $this->sendto[] = $to;
 
        if( $this->checkAddress == true )
                $this->CheckAdresses( $this->sendto );
 
}
function Cc( $cc )
{
        if( is_array($cc) )
                $this->acc= $cc;
        else
                $this->acc[]= $cc;
 
        if( $this->checkAddress == true )
                $this->CheckAdresses( $this->acc );
 
}
function Bcc( $bcc )
{
        if( is_array($bcc) ) {
                $this->abcc = $bcc;
        } else {
                $this->abcc[]= $bcc;
        }
 
        if( $this->checkAddress == true )
                $this->CheckAdresses( $this->abcc );
}
function Body( $body )
{
        $this->body= $body;
}
function Send()
{
        $this->_build_headers();
        if( sizeof( $this->aattach > 0 ) ) {
                $this->_build_attachement();
                $body = $this->fullBody . $this->attachment;
        }
        for( $i=0; $i< sizeof($this->sendto); $i++ ) {
                $res = mail($this->sendto[$i], $this->msubject,$body, $this->headers);
        }
 
}
 
function Organization( $org )
{
        if( trim( $org != "" )  )
                $this->organization= $org;
}
function Priority( $priority )
{
 
        if( ! intval( $priority ) )
                return false;
 
        if( ! isset( $this->priorities[$priority-1]) )
                return false;
 
        $this->priority= $this->priorities[$priority-1];
 
        return true;
 
}
function Attach( $filename, $filetype='application/x-unknown-content-type', $disposition = "inline" )
{
        $this->aattach[] = $filename;
        $this->actype[] = $filetype;
        $this->adispo[] = $disposition;
}
function Get()
{
        $this->_build_headers();
        if( sizeof( $this->aattach > 0 ) ) {
                $this->_build_attachement();
                $this->body= $this->body . $this->attachment;
        }
        $mail = $this->headers;
        $mail .= "\n$this->body";
        return $mail;
}
function ValidEmail($address)
{
        if( ereg( ".*<(.+)>", $address, $regs ) ) {
                $address = $regs[1];
        }
         if(ereg( "^[^@  ]+@([a-zA-Z0-9\-]+\.)+([a-zA-Z0-9\-]{2}|net|com|gov|mil|org|edu|int)\$",$address) )
                 return true;
         else
                 return false;
}
 
function CheckAdresses( $aad )
{
        for($i=0;$i< sizeof( $aad); $i++ ) {
                if( ! $this->ValidEmail( $aad[$i]) ) {
                        echo "Class Mail, method Mail : invalid address $aad[$i]";
                        exit;
                }
        }
}
function _build_headers()
{
 
 
        $this->headers= "From: $this->from\n";
 
        $this->to= implode( ", ", $this->sendto );
 
        if( count($this->acc) > 0 ) {
                $this->cc= implode( ", ", $this->acc );
                $this->headers .= "CC: $this->cc\n";
        }
 
        if( count($this->abcc) > 0 ) {
                $this->bcc= implode( ", ", $this->abcc );
                $this->headers .= "BCC: $this->bcc\n";
        }
 
        if( $this->organization != ""  )
                $this->headers .= "Organization: $this->organization\n";
 
        if( $this->priority != "" )
                $this->headers .= "X-Priority: $this->priority\n";
 
}
function _build_attachement()
{
        $this->boundary= "------------" . md5( uniqid("myboundary" ) ); 
 
        $this->headers .= "MIME-Version: 1.0\nContent-Type: multipart/mixed;\n boundary=\"$this->boundary\"\n\n";
        $this->fullBody = "This is a multi-part message in MIME format.\n--$this->boundary\nContent-Type: text/plain; charset=us-ascii\nContent-Transfer-Encoding: 7bit\n\n" . $this->body ."\n";
        $sep= chr(13) . chr(10);
 
        $ata= array();
        $k=0;
        for( $i=0; $i < sizeof( $this->aattach); $i++ ) {
 
                $filename = $this->aattach[$i];
                $basename = basename($filename);
                $ctype = $this->actype[$i];     
                $disposition = $this->adispo[$i];
 
                if( ! file_exists( $filename) ) {
                        echo "Class Mail, method attach : file $filename can't be found"; exit;
                }
                $subhdr= "--$this->boundary\nContent-type: $ctype;\n name=\"$basename\"\nContent-Transfer-Encoding: base64\nContent-Disposition: $disposition;\n  filename=\"$basename\"\n";
                $ata[$k++] = $subhdr;
                $linesz= filesize( $filename)+1;
                $fp= fopen( $filename, 'r' );
                $data= base64_encode(fread( $fp, $linesz));
                fclose($fp);
                $ata[$k++] = chunk_split( $data );
        }
        $this->attachment= implode($sep, $ata);
}
 
 
} 
 $msg  =null;
    $msg .="-----  FORMULAIRE D INSCRIPTION -------\n";
    $msg .="\nNom : ".$nom."\n"; 
    $msg .="\nPrenom : ".$prenom."\n"; 
    $msg .="----- FIN FORMULAIRE D INSCRIPTION -------\n";
$subject=StripSlashes($subject);
$msg=StripSlashes($msg);
$msg="Message depuis votre site web:
$msg";
$m= new Mail; 
        $m->From( "$email" );
        $m->To( "$dest" );     
        $m->Subject( "$subject" );
        $m->Body( $msg);   
if ($email1!="" ) {
        $m->Cc( "$email1" );
    }
        $m->Priority($priority) ;   
if ("$NomFichier_name"!="" ) {
    copy("$NomFichier","../upload/$NomFichier_name" );
    $m->Attach( "../upload/$NomFichier_name", "application/octet-stream" );
    }
        $m->Send(); 
if ("$NomFichier_name"!="" ) {
Unlink("../upload/$NomFichier_name" );   }     
echo "$reponse";
?>

Merci de m'aider

[cpp][/cpp]

Publicité

mufutah

l'erreur se trouve à la ligne 95

$res = mail($this->sendto[$i], $this->msubject,$body, $this->headers);

Merci de m'aider

pataluc

t'as lu le mail de ton hébergeur? il te dit ce qu'il faut faire. tu rajoute la ligne suivante juste avant la ligne 95:

Code :

$mail = str_replace("\n", "", str_replace("\r", "", $this->sendto[$i]));

et tu remplaces $this->sendto[$i] par $mail dans la ligne 95.

mufutah

Code :

for( $i=0; $i< sizeof($this->sendto); $i++ ) {
$mail = str_replace("\n", "", str_replace("\r", "", $this->sendto[$i]));
 $res = mail($mail, $this->msubject,$body, $this->headers);

Cela ne résout pas mon problème
Toujours le même message d'erreur.

tomsoft

Message cité 1 fois
Message édité par tomsoft le 30-12-2009 à 12:40:26

pataluc

tomsoft a écrit :

http://forum.hardware.fr/hfr/Progr [...] 3359_1.htm

multi

mouais enfin on lui a demandé de créer un nouveau topic... :jap:

Message cité 1 fois
Message édité par pataluc le 30-12-2009 à 12:24:22

mufutah

:jap: Merci pour votre indulgence

tomsoft

pataluc a écrit :

mouais enfin on lui a demandé de créer un nouveau topic... :jap:

autant pour moi :jap: j'ai juste lu le reste, et tiré des conclusions trop rapides :jap:

FORUM HardWare.fr

Programmation

PHP

Warning: mail() [function.mail]: Permission denied: headers injection

Sujets relatifs
Wanewsletter, mail envoyé mais jamais recu	Warning: mysql_num_rows() expects parameter 1 to be resource
Protection contre injection HTML	Excel: création mail automatique
Message d'alerte lors de l'envoi d'un mail	PEAR Mail et PHP 5.3.0
Cannot modify header information - headers already sent by	[wxWidgets] La macro WXDLL_ENTRY_FUNCTION
mail() qui bloque à cause de sendmail	batch sftp pour recuperer fichier et envoi mail
Plus de sujets relatifs à : Warning: mail() [function.mail]: Permission denied: headers injection

Page générée en 0.203 secondes