De exemplu multa lume are ceva de genul:
| Cod: |
| <php if(isset($_POST['mesaj'])) if(mail("trimite@email.com",$_POST['subiect'],$_POST['mesaj'])) echo "Mesaj trimis; else echo "Eroare la trimitere"; ... |
Cu astea un spammer poate trimite foarte usor mesajele lui la cita lume vrea, creeind un mesaj pe care il posteaza direct in pagina cu subiectul falsificat. Ceva de genul:
Subiectul lui \n
bcc: email1@undeva.com, email2@undeva.com, ...
Iar la mesaj e destul sa posteze ce vrea el. El stie ca mesajul ce se creeaza automat va avea asa:
To:trimite@email.com \n
Subject: Subiectul lui \n
bcc: email1@undeva.com, email2@undeva.com, ...
Care pur si simplu va trimite emailul la toata lumea specificata in BCC.
La fel se intimpla cu multe alte limbaje de script server-side si componentele folosite pt. trimiterea emailului.
Ca sa protejezi pagina poti cel mai simplu sa limitezi stringurile folosite. De exemplu pentru aceasta situatie poti face asa:
| Cod: |
| ... mail("trimite@email.com",substr($_POST['subiect'],0,20),"Mesajul trimis:\n\n".$_POST['mesaj']) ... |
Cu astea nu mai poate pasa direct in cimpul 'subiect' ce valori vrea pt. ca sint folosite doar primele 20 caractere, mult prea putin din ce are el nevoie (nu-i interesant pt. spammer sa trimita cite un mesaj o data). Iar la 'mesaj' tocmai ai inserat niste linii goale as aca nu mai poate crea mesajul email de care ar avea el nevoie care sa includa si BCC.
Cum stii cind un spammer iti foloseste site-ul? Simplu: de regula incepi sa primesti notificari ale emailurilor ce nu au ajuns la destinatie si pe care nu le-ai trimis. De regula un spammer nu gaseste site-urile mici cu citiva zeci de vizitatori, dar daca site-ul vostru este gasit cu search engines aveti grija cum tratati trimisul emailurilor din pagini.
