Hey,,

Ik ben bezig met een mail functie. Die is bijna af. Alleen als je nu een bericht aan het schrijven bent met de enters. En je mailt hem. Dan zie je in de mail geen enters... Hoe kan ik dit voorkomen?

Nog ene vraagje,
Meestal komen die mailtjes dan in de map ongewenst meteen, maar hoe kan ik die zo krijgen dat die in de postvak IN komt? Dus niet in de ongewenste map?

Op de eerste vraag is dit het antwoord: nl2br($_POST['bericht']);
Op de tweede vraag: Volgens mij had dit met de html headers te maken?

Origineel gepost door Milan Drossaerts

Op de eerste vraag is dit het antwoord: nl2br($_POST['bericht']);
Op de tweede vraag: Volgens mij had dit met de html headers te maken?

Bedankt,, het is opgelost

Misschien handig voor andere gebruikers om ook je oplossing even te delen :-)

In dit geval: Je headers moete staan dat het over een HTML bericht gaat en geen platte tekst!
- En zoals Milan aangaf de nl2br();

Dit klopt dus totaal niet: nl2br
Dit zorgt juist ervoor dat het hackbaar is!

Je moet controleren via de functie eregi() of er \n of \r in het naam (en evt. onderwerp) veld staat. Voor de rest controleren of een e-mailadres bestaat via FILTER_VAR('FILTER_VALIDATE_EMAIL', $sEmailadres) of via een regular expression.

Origineel gepost door J. Willemsen

Dit klopt dus totaal niet: nl2br
Dit zorgt juist ervoor dat het hackbaar is!

Je moet controleren via de functie eregi() of er \n of \r in het naam (en evt. onderwerp) veld staat. Voor de rest controleren of een e-mailadres bestaat via FILTER_VAR('FILTER_VALIDATE_EMAIL', $sEmailadres) of via een regular expression.

Mag ik vragen uit welke bron je dat haalt?
- Ik weet niets af van het feit dat nl2br hackbaar zou zijn?

Zo ja: Zou Zend deze functie dan niet al versies terug verwijderd hebben?
- En dan kan je tevens ook gewoon nog de newline characters (\n,\r) replacen door een <br /> lijkt mij...

Of is een str_replace ook hackbaar? :-)

Origineel gepost door Dries Vandamme

Mag ik vragen uit welke bron je dat haalt?
- Ik weet niets af van het feit dat nl2br hackbaar zou zijn?

Zo ja: Zou Zend deze functie dan niet al versies terug verwijderd hebben?
- En dan kan je tevens ook gewoon nog de newline characters (\n,\r) replacen door een <br /> lijkt mij...

Of is een str_replace ook hackbaar? :-)

Ik denk dat je niet weet wat de TS bedoelt ;)
De TS bedoelt dat er met de mail() headers kan worden gefraudeerd. Dat gaat namelijk heel gemakkelijk: je kunt met bepaalde Firefox plugins (zoals Firebug) van een naam/onderwerp veld een textarea maken. Vervolgens typ je daar een e-mailadres in. Daarachter zet je \n en BCC: piet<piet@site.nl>

Nu krijgt een mailtje van wat afkomstig is van het contactformulier. Zo kun je daar honderden adressen erbij plaatsen, en via dat contactformulier gaan spammen.

Wat er namelijk gebeurd, is dat de mail() headers worden aangepast.

Edit: shit, ik zit fout. Ik dacht dat de TS de headerfraude bedoelde, maar de TS bedoelt het omzetten van enter ( \n ) naar html-enters. Excuses ;-)
Maar achja, het bovenstaande is ook interessant om te weten