Flash Mailer funktioniert nicht auf Vserver

[Mark002]

Hallo,

ich habe einen Flash-Mailer, der scheinbar nur auf meinen VServern mit Plesk und SUSE 9.3 nicht funktioniert.

D.h. auf Webspace mit PHP4.4.4 werden Mails gesendet.
Auf meinem VServer mit 4.3.10 nicht.

Der Mailer nutzt ein php script für die mail Funktion.

<?php
//--------------------------------------------------------------//
//                             Flash 5 PHP Mailer               //
//                              by Tino Hager                   //
//                                                              //
//               Dieser Eintrag darf nicht entfernt werden      //
//             Das Copyright dieses Scriptes liegt bei          //
//                                Tino Hager                    //
//                               (www.live2.de)                 //
//--------------------------------------------------------------//
if($flash==ok) {
$gesendet="Nachricht gesendet";
$symbol="*";
$zu="zurück";
$ip=$REMOTE_ADDR;
$datum = date("d.m.Y - H:i");


$suchen = "\r";      
$ersetzen = "\n";
$kommentarp = str_replace($suchen,$ersetzen,$kommentar);


mail("$empfaenger", "$betreff", "
$kommentarp

IP: $ip, des Senders
Datum und Zeit: $datum",
"From: $absender <$absemail>");

echo "&status=$gesendet";
echo "&symbol=$symbol";
echo "&zuruck=$zu";
}

echo "nur Ausführbar über das Flash Script by Live2";
?>

Kennt jemand solche Probleme?

Unterschied bei den Servern ist, dass auf dem Vserver PHP als Apache Handler konf. ist.
Auf dem anderen Webspace als CGI.

Ich verstehe das nicht so ganz.

Danke
Viele Grüße
Mark

 

[elias5000]

Woran es liegt, sieht man dem Script natürlich nicht an. Dazu braucht es schon mindestens Logs.

Dass der Autor den Scripts aber mal mehr als die Bedeutung des Wortes "Indent" nachlesen sollte, sieht man dem Script schon an.
Das wird doch nicht etwa genau so aufgerufen - ohne was außen drum herum...?

Im Prinzip ist meine einzige Empfehlung ganz klar, dieses Script unter keinen Umständen weiter zu benutzen.
Es hat folgende Schwachpunkte:
- es erfordert register_globals=on
- es enthält mindestens einen Sytax-Fehler (unexpected bareword)
- es ignoriert völlig die Existenz von RFC822 (Header-Felder müssen entsprechend encoded werden)
- man kann in den Absender CC- und BCC-Empfänger (bzw. beliebige Header) einschleusen und so Spam über deine Kiste versenden.

 

[Mark002]

Hmm.. vielen Dank für deinen Hinweis.
Der Mailer besteht aus diesem Script und einer Flash-Datei.

Als Ersatz hatte ich das hier gedacht:
kirupa.com - Flash Based Email Form Using PHP

Vielen Dank
Grüße
Mark

 

[elias5000]

Für dieses Script gilt ähnliches. Es sieht zwar besser aus und ist super dokumentiert.
Aber es
- ignoriert die RFC822 (kein Encoding von Header-Zeilen)
- lässt beliebige Header einschleusen (weil es die $POST-Variablen direkt verwendet ohne zu validieren)
- ist also genauso geeignet, um z.B. Spam zu versenden

Evtl. im Flash durchgeführte Validierung ist absolut wirkungsfrei, da sich das Script auch beliebig per Cross-Commit von irgendeinem HTML-Form oder aus einem Script heraus beschicken lässt.
Das ist besonders schlimm, da der Quelltext im Netz verfügbar ist - Spam-Versender müssen also nur Google benutzen, um deinen als ausnutzbar bekannten Flash-Mailer zu finden.