Kontaktformular mit Bestätigungsmail?

[Klaus]

Ja denke so passts dann ...

[Tommy Herrmann]

OK - vielen Dank für Deine Mühe Klaus

Das Wissen dazu hatte mir gefehlt. Offenbar hat das aber auch Werner damals schon nicht bedacht. Ganz sicher ist mir genau das bei dem alten Zahlenrätsel auch passiert, weil die Felder meist alle leer waren.

Wenn es weitere Probleme gibt, könnte man ja "cURL" wohl auch mittels .htaccess und auch mittels Token unterbinden.

[Klaus]

Ne da kannst Du nix machen, Du kannst bei curl so wie auch bei allen anderen Programmen auch den User Agent frei setzen wie Du lustig bist. (curl -A)

[Tommy Herrmann]

Diese Optionen hatte mir "ChatGPT" noch gegeben, schreibt aber auch, dass diese nicht wirklich sicher sind:

.htaccess:

Code: Alles auswählen

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^curl [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Wget [NC]
RewriteRule .* - [F,L]

Prüfung auf direkte cURL-Zugriffe anhand von Headern:

Code: Alles auswählen

if (empty($_SERVER['HTTP_USER_AGENT']) || !isset($_SERVER['HTTP_REFERER'])) {
    die("Zugriff verweigert.");
}

SRF-Token verwenden:

Formular:

Code: Alles auswählen

<input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">

mailscript.php:

Code: Alles auswählen

session_start();
if (!isset($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die("Ungültige Anfrage.");
}

Nur Anfragen von der eigenen Website zulassen:

Code: Alles auswählen

if (!isset($_SERVER['HTTP_REFERER']) || !strpos($_SERVER['HTTP_REFERER'], "deine-website.com")) {
    die("Zugriff verweigert.");
}

ENDE

[Klaus]

Ja manche Dinge kann man machen, manche sind aber eher nix was einem Bot von irgendwas abhält.
CSRF Token haben auch eine ganz andere Funktion.
Frag am besten immer gleich was ein Bot dagegen tun könnte und lass das dann was nix bringt. ;-)

Was ich aber noch ändern würde ist nicht die Session löschen sondern nur das "gewünschte Ergebnis" damit man nicht ein 2tes mal durchkommt aber auch keine laufende Session die sich ja auch auf ein Login auf der Seite für einen geschützen Bereich beziehen könnte mit löscht.

[Tommy Herrmann]

Hallo Detlev,

ich bin mir nicht sicher, ob du noch Interesse hast, aber seit dem 16. März 2025 steht ein neues Script zum Download auf meiner Seite bereit. In diesem Script ist das Captcha bereits integriert:

https://www.mobirise-tutorials.com/Kont ... aptcha-New

Da wir hier viel über dieses Script diskutiert haben, habe ich ebenfalls erneut mit Spammern zu kämpfen. Daher habe ich mein persönliches Script zusätzlich mit einer eigenen IP-Sperre ausgestattet. Mit der gleichen IP-Adresse kann nun nur noch alle drei Tage eine E-Mail gesendet werden, was jedoch jederzeit leicht angepasst werden kann. Außerdem habe ich die Eingabe von URLs im Textfeld unterbunden. Sollte jemand an diesen beiden zusätzlichen Optionen interessiert sein, biete ich sie gerne zum Download an.

Ich bin jedoch der Meinung, dass du mit dem jetzt von dir verwendeten Formular von "Arclab" noch besser aufgestellt bist. Es ist nur bedauerlich, dass "Arclab" anscheinend nicht mehr weiter macht.