Warning: mail() [function.mail]: Permission denied: headers injection

Marsh Posté le 30-12-2009 à 10:12:32

Bjr,
Mon hebergeur à mis une sécurité et du coup, mon formulaire d'envoi de mail me renvoi cette erreur:
Warning: mail() [function.mail]: Permission denied: headers injection (empty line) in

Voila ce que mon hebergeur dit:

Citation :

Quelques sites ont été victimes d'une attaque distribuée visant à envoyer un mailing en masse de spam via des sites client.

En effet, des spammeurs ont répertorié toutes les pages ayant un formulaire de contact envoyant un email. Plusieurs sites hébergé chez nous et dans le monde ont donc été exploité de la même façon.

Ils se sont servis d'une faille existante dans beaucoup de formulaires de contact qui ne vérifient pas la présence de retour de ligne dans certains champs, en particulier celui de l'e-mail de l'expéditeur à compléter dans les formulaires.

Vous pouvez éviter que cela se produise, soit en désactivant le script PHP de contact e-mail de votre site, soit en vous assurant qu'il n'y a pas de retour de ligne dans chacun des champs du formulaire de contact de votre site.

Voici comment éviter simplement que ceci soit exploitable en remplaçant les retours de ligne dans chacun des champs devant normalement contenir un email (ce champ est souvent nommé $email, $sender ou $from):

$EMAIL = str_replace("\n", "", str_replace("\r", "", $EMAIL));

Le spammer exploite les scripts ressemblant à ceci

$MESSAGE = $_POST[msg];
$RECIPIENT = "webmaster@votredomaine.com";
$SUBJECT = "Formulaire de contact";
$EMAIL = $_POST[email];

// Sans cette ligne votre script est exploitable !!!!
$EMAIL = str_replace("\n", "", str_replace("\r", "", $EMAIL));

mail($RECIPIENT, $SUBJECT, $MESSAGE, "From: $EMAIL" );

Merci de bien vouloir vérifier ceci dans vos scripts PHP.

mon script

Code :

<? $module = $_POST['module'];
$nom = $_POST['nom'];
$prenom = $_POST['prenom'];
 
$dest="webmaster@domaine.com";
 
$reponse=StripSlashes("Votre demande d'inscription a été prise en compte. Nous vous recontacterons très prochainement" );
 
class Mail
{
 
        var $sendto= array();
        var $from, $msubject;
        var $acc= array();
        var $abcc= array();
        var $aattach= array();
        var $priorities= array( '1 (Highest)', '2 (High)', '3 (Normal)', '4 (Low)', '5 (Lowest)' );
 
 
function Mail()
{
        $this->autoCheck(
         true );
}
 
function autoCheck( $bool )
{
        if( $bool )
                $this->checkAddress = true;
        else
                $this->checkAddress = false;
}
 
 
function Subject( $subject )
{
        $this->msubject = strtr( $subject, "\r\n" , "  " );
}
 
function From( $from )
{
 
        if( ! is_string($from) ) {
                echo "Class Mail: error, From is not a string";
                exit;
        }
        $this->from= $from;
}
function To( $to )
{
 
        if( is_array( $to ) )
                $this->sendto= $to;
        else
                $this->sendto[] = $to;
 
        if( $this->checkAddress == true )
                $this->CheckAdresses( $this->sendto );
 
}
function Cc( $cc )
{
        if( is_array($cc) )
                $this->acc= $cc;
        else
                $this->acc[]= $cc;
 
        if( $this->checkAddress == true )
                $this->CheckAdresses( $this->acc );
 
}
function Bcc( $bcc )
{
        if( is_array($bcc) ) {
                $this->abcc = $bcc;
        } else {
                $this->abcc[]= $bcc;
        }
 
        if( $this->checkAddress == true )
                $this->CheckAdresses( $this->abcc );
}
function Body( $body )
{
        $this->body= $body;
}
function Send()
{
        $this->_build_headers();
        if( sizeof( $this->aattach > 0 ) ) {
                $this->_build_attachement();
                $body = $this->fullBody . $this->attachment;
        }
        for( $i=0; $i< sizeof($this->sendto); $i++ ) {
                $res = mail($this->sendto[$i], $this->msubject,$body, $this->headers);
        }
 
}
 
function Organization( $org )
{
        if( trim( $org != "" )  )
                $this->organization= $org;
}
function Priority( $priority )
{
 
        if( ! intval( $priority ) )
                return false;
 
        if( ! isset( $this->priorities[$priority-1]) )
                return false;
 
        $this->priority= $this->priorities[$priority-1];
 
        return true;
 
}
function Attach( $filename, $filetype='application/x-unknown-content-type', $disposition = "inline" )
{
        $this->aattach[] = $filename;
        $this->actype[] = $filetype;
        $this->adispo[] = $disposition;
}
function Get()
{
        $this->_build_headers();
        if( sizeof( $this->aattach > 0 ) ) {
                $this->_build_attachement();
                $this->body= $this->body . $this->attachment;
        }
        $mail = $this->headers;
        $mail .= "\n$this->body";
        return $mail;
}
function ValidEmail($address)
{
        if( ereg( ".*<(.+)>", $address, $regs ) ) {
                $address = $regs[1];
        }
         if(ereg( "^[^@  ]+@([a-zA-Z0-9\-]+\.)+([a-zA-Z0-9\-]{2}|net|com|gov|mil|org|edu|int)\$",$address) )
                 return true;
         else
                 return false;
}
 
function CheckAdresses( $aad )
{
        for($i=0;$i< sizeof( $aad); $i++ ) {
                if( ! $this->ValidEmail( $aad[$i]) ) {
                        echo "Class Mail, method Mail : invalid address $aad[$i]";
                        exit;
                }
        }
}
function _build_headers()
{
 
 
        $this->headers= "From: $this->from\n";
 
        $this->to= implode( ", ", $this->sendto );
 
        if( count($this->acc) > 0 ) {
                $this->cc= implode( ", ", $this->acc );
                $this->headers .= "CC: $this->cc\n";
        }
 
        if( count($this->abcc) > 0 ) {
                $this->bcc= implode( ", ", $this->abcc );
                $this->headers .= "BCC: $this->bcc\n";
        }
 
        if( $this->organization != ""  )
                $this->headers .= "Organization: $this->organization\n";
 
        if( $this->priority != "" )
                $this->headers .= "X-Priority: $this->priority\n";
 
}
function _build_attachement()
{
        $this->boundary= "------------" . md5( uniqid("myboundary" ) ); 
 
        $this->headers .= "MIME-Version: 1.0\nContent-Type: multipart/mixed;\n boundary=\"$this->boundary\"\n\n";
        $this->fullBody = "This is a multi-part message in MIME format.\n--$this->boundary\nContent-Type: text/plain; charset=us-ascii\nContent-Transfer-Encoding: 7bit\n\n" . $this->body ."\n";
        $sep= chr(13) . chr(10);
 
        $ata= array();
        $k=0;
        for( $i=0; $i < sizeof( $this->aattach); $i++ ) {
 
                $filename = $this->aattach[$i];
                $basename = basename($filename);
                $ctype = $this->actype[$i];     
                $disposition = $this->adispo[$i];
 
                if( ! file_exists( $filename) ) {
                        echo "Class Mail, method attach : file $filename can't be found"; exit;
                }
                $subhdr= "--$this->boundary\nContent-type: $ctype;\n name=\"$basename\"\nContent-Transfer-Encoding: base64\nContent-Disposition: $disposition;\n  filename=\"$basename\"\n";
                $ata[$k++] = $subhdr;
                $linesz= filesize( $filename)+1;
                $fp= fopen( $filename, 'r' );
                $data= base64_encode(fread( $fp, $linesz));
                fclose($fp);
                $ata[$k++] = chunk_split( $data );
        }
        $this->attachment= implode($sep, $ata);
}
 
 
} 
 $msg  =null;
    $msg .="-----  FORMULAIRE D INSCRIPTION -------\n";
    $msg .="\nNom : ".$nom."\n"; 
    $msg .="\nPrenom : ".$prenom."\n"; 
    $msg .="----- FIN FORMULAIRE D INSCRIPTION -------\n";
$subject=StripSlashes($subject);
$msg=StripSlashes($msg);
$msg="Message depuis votre site web:
$msg";
$m= new Mail; 
        $m->From( "$email" );
        $m->To( "$dest" );     
        $m->Subject( "$subject" );
        $m->Body( $msg);   
if ($email1!="" ) {
        $m->Cc( "$email1" );
    }
        $m->Priority($priority) ;   
if ("$NomFichier_name"!="" ) {
    copy("$NomFichier","../upload/$NomFichier_name" );
    $m->Attach( "../upload/$NomFichier_name", "application/octet-stream" );
    }
        $m->Send(); 
if ("$NomFichier_name"!="" ) {
Unlink("../upload/$NomFichier_name" );   }     
echo "$reponse";
?>

Merci de m'aider

[cpp][/cpp]

Marsh Posté le 30-12-2009 à 10:12:32

Marsh Posté le 30-12-2009 à 10:30:43

l'erreur se trouve à la ligne 95

$res = mail($this->sendto[$i], $this->msubject,$body, $this->headers);

Merci de m'aider

Marsh Posté le 30-12-2009 à 10:45:43

t'as lu le mail de ton hébergeur? il te dit ce qu'il faut faire. tu rajoute la ligne suivante juste avant la ligne 95:

Code :

$mail = str_replace("\n", "", str_replace("\r", "", $this->sendto[$i]));

et tu remplaces $this->sendto[$i] par $mail dans la ligne 95.

Marsh Posté le 30-12-2009 à 11:53:29

Code :

for( $i=0; $i< sizeof($this->sendto); $i++ ) {
$mail = str_replace("\n", "", str_replace("\r", "", $this->sendto[$i]));
 $res = mail($mail, $this->msubject,$body, $this->headers);

Cela ne résout pas mon problème
Toujours le même message d'erreur.

Marsh Posté le 30-12-2009 à 12:05:21

Message cité 1 fois
Message édité par tomsoft le 30-12-2009 à 12:40:26

Marsh Posté le 30-12-2009 à 12:23:44

tomsoft a écrit :

http://forum.hardware.fr/hfr/Progr [...] 3359_1.htm

multi

mouais enfin on lui a demandé de créer un nouveau topic... :jap:

Message cité 1 fois
Message édité par pataluc le 30-12-2009 à 12:24:22

Marsh Posté le 30-12-2009 à 12:28:12

:jap: Merci pour votre indulgence

Marsh Posté le 30-12-2009 à 12:38:30

pataluc a écrit :

mouais enfin on lui a demandé de créer un nouveau topic... :jap:

autant pour moi :jap: j'ai juste lu le reste, et tiré des conclusions trop rapides :jap:

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed

Name *

Email *

URL

Message *