[HaBo]

sulpsulpc · 03.01.11, 20:18

Hallo,

ich habe ein Skript, das dem Benutzer eine E-Mail mit seinen Zugangsdaten schickt. Leider wird jedoch als Nachricht "0" angezeigt.

PHP-Code:

  <?php
require_once("./lib/define.php");
mysql_connect(DBHOST,DBUSER,DBPASS) or die("Error ".mysql_errno().": ".mysql_error());
mysql_select_db(DBNAME) or die("Error ".mysql_errno().": ".mysql_error());
$uname = $_POST["Uname"];
$upass = $_POST["Upass"];
$upass2= $_POST["Upassw"];
$to = $_POST["Uemail"];
$subject = "Ihre Registrierung beim EEP Gemeinschaftsprojekt";
$message = 'Sie haben sich erfolgreich beim EEP Gemeinschaftsprojekt registriert. Bitte heben Sie diese E-Mail gut auf, denn ich haben keine Möglichkeit an ihr Passwort heranzukommen,"
falls sie es verlieren. Hier ihre Zugangsdaten:\n"
Benutzername: '.$uname.'\nPasswort: '.$upass.'\n';
$additional_headers = "From: mb1-anlagen@web.de";
if ($_POST["anlage"] == "Fischbach") $aid = 0;
else $aid = 1;

if($uname == "" || $upass == "" || $upass2 == "" || $to == "") {
    Header("Location: ./?s=regist&e=3&sid=".session_id());
}elseif ($upass != $upass2) {
    Header("Location: ./?s=regist&e=2&sid=".session_id());
}else{
    $iquer = mysql_query("SELECT `index` FROM `users` WHERE `anlagenid` = '".$aid."' ORDER BY `index` DESC") or die("Error ".mysql_errno().": ".mysql_error());
    $lastindex = mysql_fetch_object($iquer);
    $index = $lastindex->index + 1;
    $query = mysql_query("INSERT INTO `users` (`name`, `passwort`, `email`, `registrierungsdatum`, `index`, `anlagenid`) VALUES ('".$uname."', '".sha1(md5($upass))."', '".$to."', '".date("Y-m-d")."', '".$index."', '".$aid."')") or die("Error ".mysql_errno().": ".mysql_error());
    if($query == true) {
        $mail = mail($to, $subject, $message, $additional_headers);
        if($mail == true) {
            ?><script type="text/javascript">alert('Sie sollten nun in kürze eine E-Mail mit ihren Zugangsdaten erhalten.');window.location.href = './';</script>
            <?php
        }else{
            ?><script type="text/javascript">alert('Die E-Mail konnte nicht versandt werden.');window.location.href = './';</script>
            <?php
        }
    }else{
        ?><script type="text/javascript">alert('Fehler beim Schreiben in die Datenbank');window.location.href = './';</script>
        <?php
    }
}
?>

Wieso schreibt er "0" statt dem Inhalt von $message?

easteregg · 03.01.11, 22:40

also erstmal is das script anfällig gegen sql injections

warum die nachricht 0 anzeigt frag ich mich auch grad, sollte eigentlich nicht der fall sein.

schau mal mit var_dump($message); nach, was die variable für werte nach deklaration und vor aufruf der mail() funktion enthält.

Anzeige

- Anzeige -

Dresko · 03.01.11, 22:58

Nach kurzem Überfliegen würde ich den Fehler bei den ganzen Anführungszeichen vermuten. Außerdem fürchte ich, dass das mit den einfachen Anführungszeichen und dem Zeilenumbruch nicht hinhaut.
'\n' wird anders interpretiert als "\n" und die Steuerzeichen \n, \r, \t, usw. funktionieren nur bei " ".
Bleibe am besten bei einer Hochkomma-Art, (" " würde sich da anbieten) und maskiere weitere Anführungszeichen innerhalb des Strings mit einem \.

Z.B. so:

Code:

$message = "Sie haben sich erfolgreich beim EEP Gemeinschaftsprojekt registriert.
Bitte heben Sie diese E-Mail gut auf, denn ich haben keine Möglichkeit an ihr Passwort heranzukommen,
falls Sie es verlieren. Hier ihre Zugangsdaten:\nBenutzername: " . $uname . "\nPasswort: " . $upass . "\n";

Und wie easteregg schon schrieb ist dein Script sehr unsicher. Verwende niemals ungeprüfte Variablen wenn du ein Query zusammenbaust und die Session-ID solltest du auch nicht per GET übertragen (Stichwort: Session-Hijacking).

sulpsulpc · 04.01.11, 13:05

Wo bittte übergebe ich Sessions mit $_GET? Und wie will man da bitte SQL Injections machen (gut, ich habe relativ wenig Ahnung von SQL Injections), denn die URL muss ja dann wohl lauten:

Code:

Http://www.addresse.de/registrieren.php

kG · 04.01.11, 13:24

Zitat:

Zitat von sulpsulpc

Wo bittte übergebe ich Sessions mit $_GET?

Na dort:

PHP-Code:

  if($uname == "" || $upass == "" || $upass2 == "" || $to == "") {

    Header("Location: ./?s=regist&e=3&sid=".session_id());

}elseif ($upass != $upass2) {

    Header("Location: ./?s=regist&e=2&sid=".session_id());

}else{

sulpsulpc · 04.01.11, 13:58

Nur dass da halt die Session ID leer ist, der Benutzer ist ja schließlich nicht angemeldet.

kG · 04.01.11, 14:27

Zitat:

Zitat von sulpsulpc

Nur dass da halt die Session ID leer ist, der Benutzer ist ja schließlich nicht angemeldet.

Es geht ja drum dass jemand dem Nutzer die Session klauen kann. Wenn er nicht angemeldet ist, dann brauchst du doch theoretisch keine Sessions an der Stelle?

Bezüglich den SQl-Injections:

PHP-Code:

  $uname = $_POST["Uname"];
$upass = $_POST["Upass"];

Du solltest die Inhalte der Variablen überprüfen ehe du die im

PHP-Code:

  $query = mysql_query("INSERT INTO `users` (`name`, `passwort`, `email`, `registrierungsdatum`, `index`, `anlagenid`) VALUES ('".$uname."', '".sha1(md5($upass))."', '".$to."', '".date("Y-m-d")."', '".$index."', '".$aid."')") or die("Error ".mysql_errno().": ".mysql_error());

einfach so verwendest.

mime · 04.01.11, 15:41

Zitat:

Zitat von sulpsulpc

Wieso schreibt er "0" statt dem Inhalt von $message?

Das ist unter Windows, oder? Wenn ja, bitte mal die Hinweise unter http://de2.php.net/manual/de/function.mail.php und http://www.php-faq.de/q-mail-windows.html lesen

HTH

Micha

sulpsulpc · 04.01.11, 16:11

Wie kommst du auf die Idee, dass das auf Windows läuft? Das Skript läuft natürlich unter Linux!

mime · 04.01.11, 16:26

Zitat:

Zitat von sulpsulpc

Wie kommst du auf die Idee, dass das auf Windows läuft?

Warum sollte es nicht? War eine Möglichkeit. Laut deiner Signatur benutzt du (auch) Windows.

Zitat:

Das Skript läuft natürlich unter Linux!

Dann schreibe es doch das nächste mal gleich dazu. Warum "natürlich unter Linux"? Gibt eine Menge mehr Systeme unter denen php läuft.

Die Mailfunktion an sich passt. Deine Zeilenumbrüche funktionieren aufgrund der "'" nicht, aber das wurde dir ja schon gesagt und ist auch nicht das Problem. Wenn ich deinen Code auf ein Minimum reduziere funktioniert das hier.

PHP-Code:

  <?php

$uname = "mime";
$upass = "mime";
$to = "mime@example.com";

$subject = "Ihre Registrierung beim EEP Gemeinschaftsprojekt";

$message = 'Sie haben sich erfolgreich beim EEP Gemeinschaftsprojekt registriert. Bitte heben Sie diese E-Mail gut auf, denn ich haben keine Möglichkeit an ihr Passwort heranzukommen,"
falls sie es verlieren. Hier ihre Zugangsdaten:\n"
Benutzername: '.$uname.'\nPasswort: '.$upass.'\n';
$additional_headers = "From: mime@gmx.de";

$mail = mail($to, $subject, $message, $additional_headers);

print $mail;
        
?>

Ergebnis: 1

Was sagt denn das Log des Mailservers zu der ganzen Geschichte?

Micha

sulpsulpc · 05.01.11, 14:15

Vielleicht schaust du dir nochmal meine Signatur an

Zitat:

Windows 7 Home Premium 32-Bit, Ubuntu 10.04 TLS

Siehst du sonst noch ein OS, das ich benutzen könnte

kG · 05.01.11, 14:29

Zitat:

Zitat von sulpsulpc

Vielleicht schaust du dir nochmal meine Signatur an

Siehst du sonst noch ein OS, das ich benutzen könnte

Da steht auch Windows drin... jetzt aber zurück zum Thema... Dir wurden ja schon Änderungsvorschläge gemacht. Schreib mal deinen jetzigen Code nochmal rein, falls das Problem noch besteht. Und gegebenenfalls was mime meinte, die logs.

Anzeige

- Anzeige -

03.01.11, 20:18	#1 (permalink)
sulpsulpc Registriert seit: 20.12.09 Likes: 0	Mail Nachricht "0" Anzeige Hallo, ich habe ein Skript, das dem Benutzer eine E-Mail mit seinen Zugangsdaten schickt. Leider wird jedoch als Nachricht "0" angezeigt. PHP-Code: <?php require_once("./lib/define.php"); mysql_connect(DBHOST,DBUSER,DBPASS) or die("Error ".mysql_errno().": ".mysql_error()); mysql_select_db(DBNAME) or die("Error ".mysql_errno().": ".mysql_error()); $uname = $_POST["Uname"]; $upass = $_POST["Upass"]; $upass2= $_POST["Upassw"]; $to = $_POST["Uemail"]; $subject = "Ihre Registrierung beim EEP Gemeinschaftsprojekt"; $message = 'Sie haben sich erfolgreich beim EEP Gemeinschaftsprojekt registriert. Bitte heben Sie diese E-Mail gut auf, denn ich haben keine Möglichkeit an ihr Passwort heranzukommen," falls sie es verlieren. Hier ihre Zugangsdaten:\n" Benutzername: '.$uname.'\nPasswort: '.$upass.'\n'; $additional_headers = "From: mb1-anlagen@web.de"; if ($_POST["anlage"] == "Fischbach") $aid = 0; else $aid = 1; if($uname == "" \|\| $upass == "" \|\| $upass2 == "" \|\| $to == "") { Header("Location: ./?s=regist&e=3&sid=".session_id()); }elseif ($upass != $upass2) { Header("Location: ./?s=regist&e=2&sid=".session_id()); }else{ $iquer = mysql_query("SELECT `index` FROM `users` WHERE `anlagenid` = '".$aid."' ORDER BY `index` DESC") or die("Error ".mysql_errno().": ".mysql_error()); $lastindex = mysql_fetch_object($iquer); $index = $lastindex->index + 1; $query = mysql_query("INSERT INTO `users` (`name`, `passwort`, `email`, `registrierungsdatum`, `index`, `anlagenid`) VALUES ('".$uname."', '".sha1(md5($upass))."', '".$to."', '".date("Y-m-d")."', '".$index."', '".$aid."')") or die("Error ".mysql_errno().": ".mysql_error()); if($query == true) { $mail = mail($to, $subject, $message, $additional_headers); if($mail == true) { ?><script type="text/javascript">alert('Sie sollten nun in kürze eine E-Mail mit ihren Zugangsdaten erhalten.');window.location.href = './';</script> <?php }else{ ?><script type="text/javascript">alert('Die E-Mail konnte nicht versandt werden.');window.location.href = './';</script> <?php } }else{ ?><script type="text/javascript">alert('Fehler beim Schreiben in die Datenbank');window.location.href = './';</script> <?php } } ?> Wieso schreibt er "0" statt dem Inhalt von $message? __________________ Browser: Firefox 4.01 PHP-Version: 5.3 Framework: 2.0.50727, 3.0, 3.5 OS: Windows 7 Home Premium 64-Bit, Ubuntu 11.04

03.01.11, 22:40	#2 (permalink)
easteregg Member of Honour Registriert seit: 14.09.07 Likes: 62	also erstmal is das script anfällig gegen sql injections warum die nachricht 0 anzeigt frag ich mich auch grad, sollte eigentlich nicht der fall sein. schau mal mit var_dump($message); nach, was die variable für werte nach deklaration und vor aufruf der mail() funktion enthält. __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

03.01.11, 22:58	#3 (permalink)
Dresko Registriert seit: 30.01.10 Likes: 1	Nach kurzem Überfliegen würde ich den Fehler bei den ganzen Anführungszeichen vermuten. Außerdem fürchte ich, dass das mit den einfachen Anführungszeichen und dem Zeilenumbruch nicht hinhaut. '\n' wird anders interpretiert als "\n" und die Steuerzeichen \n, \r, \t, usw. funktionieren nur bei " ". Bleibe am besten bei einer Hochkomma-Art, (" " würde sich da anbieten) und maskiere weitere Anführungszeichen innerhalb des Strings mit einem \. Z.B. so: Code: $message = "Sie haben sich erfolgreich beim EEP Gemeinschaftsprojekt registriert. Bitte heben Sie diese E-Mail gut auf, denn ich haben keine Möglichkeit an ihr Passwort heranzukommen, falls Sie es verlieren. Hier ihre Zugangsdaten:\nBenutzername: " . $uname . "\nPasswort: " . $upass . "\n"; Und wie easteregg schon schrieb ist dein Script sehr unsicher. Verwende niemals ungeprüfte Variablen wenn du ein Query zusammenbaust und die Session-ID solltest du auch nicht per GET übertragen (Stichwort: Session-Hijacking). __________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. - Rick Cook -

04.01.11, 13:05	#4 (permalink)
sulpsulpc Themenstarter Registriert seit: 20.12.09 Likes: 0	Wo bittte übergebe ich Sessions mit $_GET? Und wie will man da bitte SQL Injections machen (gut, ich habe relativ wenig Ahnung von SQL Injections), denn die URL muss ja dann wohl lauten: Code: Http://www.addresse.de/registrieren.php __________________ Browser: Firefox 4.01 PHP-Version: 5.3 Framework: 2.0.50727, 3.0, 3.5 OS: Windows 7 Home Premium 64-Bit, Ubuntu 11.04

04.01.11, 13:58	#6 (permalink)
sulpsulpc Themenstarter Registriert seit: 20.12.09 Likes: 0	Nur dass da halt die Session ID leer ist, der Benutzer ist ja schließlich nicht angemeldet. __________________ Browser: Firefox 4.01 PHP-Version: 5.3 Framework: 2.0.50727, 3.0, 3.5 OS: Windows 7 Home Premium 64-Bit, Ubuntu 11.04

04.01.11, 16:11	#9 (permalink)
sulpsulpc Themenstarter Registriert seit: 20.12.09 Likes: 0	Wie kommst du auf die Idee, dass das auf Windows läuft? Das Skript läuft natürlich unter Linux! __________________ Browser: Firefox 4.01 PHP-Version: 5.3 Framework: 2.0.50727, 3.0, 3.5 OS: Windows 7 Home Premium 64-Bit, Ubuntu 11.04

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

[HaBo]

Mail Nachricht "0"