Captcha - Kontaktformular - Probleme

[~Christian]

Naja Haftung übernehme ich keine bei ev. auftretenden Schäden.

Solltest aber das hier benutzen und auch mal die Kommentare lesen. Ist auch noch ne Funktion mit bei, mit der du recht effektiv deine Eingaben überprüfen kannst.

http://php-classes.net/kontaktformular.rar
vorher den Browsercache leeren!

[loewenzahn]

Werde ich heute Abend gleich mal testen.
Muß bloß noch sehen, das ich ein Feld " Name, Telefon" noch reinbekommen.
Das ist ja ein "muß" im Formular.
So einfach wird das aber nicht werden, weil es auf mehrere Dateien verteilt ist und einige Befehle mir unbekannt sind.

Zitat:Naja Haftung übernehme ich keine bei ev. auftretenden Schäden.

Es soll auch keiner eine Haftung übernehmen.
Das ist absolut spitze von euch, das ihr so ein super Script programmiert habt.

P.S. Welche Dateien von Smarty werden denn alle benötigt ?
( alle im Verz. libs ?)

Nochmal Danke an das Team

[White]

Jap allesamt.
Die bauen alle aufeinander auf.

[~Christian]

Zitat:Werde ich heute Abend gleich mal testen.
Muß bloß noch sehen, das ich ein Feld " Name, Telefon" noch reinbekommen. [...]So einfach wird das aber nicht werden, weil es auf mehrere Dateien verteilt ist und einige Befehle mir unbekannt sind.

Dazu folgendes: Die Verteilung hat so schon seinen Sinn. Du findest im templates Ordner eine form.tpl - diese besteht nur aus simplen HTML Code, den du nach deinen Wünschen anpassen kannst. Nur die Variablen wie z.B. {$foobar} müssen erhalten bleiben, können aber auch anders positioniert werden. Z.B. dort wo im template {$confirmation} steht, erscheint später die Bestätigung bzw. ein Fehler.

Die if(empty($foobar)) Kiste kannst du dir selber baun, das hat mehr oder weniger nichts mit den Kernsicherheitsaspekten zutun. Bei dem Satz wird mir allerdings etwas unwohl, weil es indirekt (oder direkt?) doch wichtig ist.

Naja egal.

[loewenzahn]

Hallo greg, du hast schon wieder Recht,
von wegen schnell mal Name und telefon nachtragen.
Hast schon sicher geahnt, das das nicht so einfach geht.
Das Formularfeld nachtragen ist ja kein Problem, aber die Daten müssen auch mitversand werden.

[~Christian]

Ähm naja sagen wirs so, ich hab meine Gründe aus denen ich da nur ein paar Felder hingemacht habe und genauso Gründe, aus denen ich die entsprechende Validierung weggelassen habe.

Wenn du Felder hinzufügen willst, tipp sie ins Template (form.tpl) nach dem Muster der anderen (1), danach editierst du mail.tpl nach deinen wünschen. Die mail.tpl ist ein Rohling für die Email, mit bestimmten Platzhaltern nach dem Muster: {$variable}

Angenommen du hast ein Feld namens 'name' in der form.tpl hinzugefügt, dann kannst du in der mail.tpl z.B. schreiben:

Code:

Verfasst am: {$date}
Absender: {$sender}
Betreff: {$subject}

Herr [color=purple]{$name}[/color] schrieb folgende Nachricht:

{$message}
-----------------------------------

http://webhilfe.info

Zu achten ist hier auf {$name}. Das ist der Platzhalter (Variable) für dein 'name' Feld.

Jetzt bist du aber noch nicht fertig, du musst dir noch die index.php vornehmen und wie folgt editieren:

Bei mir Zeile 97 - 101:

Code:

                $smarty->assign('date', date('d.m.Y H:m', time()));
                $smarty->assign('sender', addslashes(trim($_POST['email'])));
                $smarty->assign('subject', addslashes(trim($_POST['subject'])));
                
                $smarty->assign('message', addslashes(trim($_POST['message'])));

Da musst du jetzt noch dein 'name' Feld angeben. Das geht so:
$smarty->assign('name', addslashes(trim($_POST['name'])));

Joa das wars im Grunde. Den Vorgang beliebig oft wiederholen.

(1)

Code:

                <li>
                    <span>
                        <label for="[color=purple]name[/color]">Name:</label>
                    </span>
                    <input type="text" id="[color=purple]name[/color]" name="[color=purple]name[/color]" value="{$smarty.post.[color=purple]name[/color]}" />

                </li>

[Karl Schuster]

Das Script ist absolut spitze.
Es läuft ohne Probleme bei mir.
Auch danke an greg, ich habe auch schon versucht, den Script zu erweitern
damit mehrere Eintragungsfelder sind.

Wäre es auch möglich den Script blanko zu Verfügung zu stellen, das heißt damit ich es auch in ein anderen Formular einbinden kann.
- so wie Captcha -

Danke eurer Karl

Eurer Forum werde ich auf jeden Fall weiterempfehlen.

[~Christian]

Freut uns doch, wenn es dir gefällt. Du scheinst jedoch einen recht wesentlichen Aspekt noch nicht verstanden zu haben, ist aber halb so wild ich erklärs dir.

Ich glaube, du hast das Template System noch nicht verstanden. Ein Template ist eine Vorlage, ein Rohling für irgendetwas. Stell es dir wie eine Schablone vor, in der noch Striche hinzugemalt werden müssen. In unserem Fall gibt es zwei Templates, nämlich form.tpl und mail.tpl wenn ich mich recht entsinne. Für das Erscheinungsbild deines Kontaktformulares im Browser, ist die form.tpl entscheidend. Ich weiß nicht, wie gut deine HTML Kenntnisse sind, es sei jedoch gesagt, dass sich in der form.tpl nur reines HTML befindet. D.h. kein PHP, kein Sicherheitsschutz, keinerlei Kontrollen. Nur das Formular ansich, mit seinen Feldern.

Dieses Formular kannst du (wenn du die bereits von mir beschriebenen Smarty Sachen berücksichtigst), nach deinen Wünschen ändern. Dabei ist es unmöglich, irgendwelche sicherheitsrelevanten Aspekte zu zerschießen, ich hoffe dir ist klar warum:

Das eigentliche Script ist in der index.php. Wenn du diese öffnest, siehst du ausschließlich PHP, hier wirst du kein HTML antreffen. Das haben wir ja ausgelagert ins Template. D.h. die index.php ist dein "blanko" Script, es ist flexibel einsetzbar.

Zitat:Wäre es auch möglich den Script blanko zu Verfügung zu stellen, das heißt damit ich es auch in ein anderen Formular einbinden kann.

An dieser Stelle solltest du dir die obige Frage selbst beantworten können, der Vollständigkeit halber sag ich da aber auch noch zwei Takte zu:

"Ein anderes Formular" brauchst du in dem Sinne nicht. Du kopierst einfach die Datein in einen zweiten Ordner deiner Wahl, passt ev. Pfade neu an und bearbeitest die Templates. Die index.php kannst du (bis auf die Smarty Sachen) unangetastet lassen.

Fußnote:
Das Script ist im Grunde nicht so das Gelbe vom Ei. Es ist mit Sicherheit besser als das, was du an jeder Ecke findest, allerdings eher für kleine Homepages geeignet, deren Aufbau mehr oder weniger statisch ist. Das Script ist prozedual geschrieben, eine objektorientierte Lösung wäre insofern besser, als dass man den Captcha Schutz z.B. sehr einfach austauschen könnte - im Moment hast du eine Rechenaufgabe, du könntest aber genauso gut ein Bild mit einer Zeichenkette haben oder Kreisen, deren Mitte du anklicken musst. Da das aber über deine Verwendungszwecke hinausgeht, hab ichs mal gelassen.

Welchen Schutz das Script bietet:
Vll. fragst du dich, warum das Script sicher ist. Nun, es ist in zweierlei Hinsicht als sicher zu bezeichnen:

1) Es ist nicht möglich, durch einen simplen HTTP Request, böse POST Daten in dein Formular einzuschlä(e?)usen. Durch einen Token im Formular wird sichergestellt, dass die POST Daten nur dann verarbeitet werden, wenn sie aus deinem Formular stammen. Das ist sehr wichtig, sonst wäre es sehr einfach, mittels eines kleinen Scriptes, etwa 5000 Anfragen (Requests) an dein Formular (die index.php) zu senden. Alle 5000 Requests würden verarbeitet und es würden 5000 E-Mails versand. Das ist schlecht und führte zu entsprechenden Konsequenzen vom Provider (das wäre Spam).

2) Ein Captcha: das Captcha ist wichtig für eine andere Art von Spam Engines, die zwar klug genug sind, dein Formular zu benutzen, aber nicht klug genug sind, um Rechenaufgaben zu lösen. D.h. auch diese Spam Engines scheitern an dem Formular. Sie bekämen eine Fehlermeldung wg. der falsch beantworteten Rechenaufgabe, in Schutz 1) würde der entsprechende Spammer einfach eingefriert. Das heißt, statt dass eine E-Mail versand wird, friert sich das Script selbst ein (sodass der Spammer 100 Jahre auf ein Ergebnis warten kann).

[Karl Schuster]

Danke greg, für den ausführlichen Bericht.
Ich dachte diesen Script kann man an jedes Formular ohne weiteres anhängen.

[~Christian]

Deine Antwort verwirrt mich jetzt. Egal. Wenn dir damit geholfen war, bitte sehr.