Защита формы от взлома

@SergeyKagen · Регистрация: 02.04.2018

Студворк — интернет-сервис помощи студентам

Добрый день. Слышал что многие взломы сайтов происходят из-за того, что на форме нет защиты. Я немного не представляю как можно взломать сайт через форму. Я скачал форму отправки на почту со стороннего сайта, теперь меня интересует вопрос, можно ли с помощью неё взломать сайт? Или эта форма защищена. Если не защищена, то как сделать защиту?

HTML5
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<html>
<head>
<meta charset="utf-8"> 
</head>
<body>
 
 
 
    <h2>Отправить</h2>
    <a name="form-1"></a>
    <form action="sendmail.php" method="post" name="f1">
        <input  type="text" placeholder="Ваше имя" name="name1" required><br><br>
        <input  type="email" placeholder="Ваш email" name="email1" required="required"><br><br>
        <textarea   placeholder="Ваш текст" name="text" required="required"></textarea><br><br>
        <input  type="submit" value="ОТПРАВИТЬ" name="sab">
    </form>
<br>
<script>
var dopinf = 'Дополнительная информация в скрипте';
document.write(dopinf);
</script>
    
</body>
</html>

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
<meta charset="utf-8"> 
<?php
error_reporting( E_ERROR );   //Отключение предупреждений и нотайсов (warning и notice) на сайте
// создание переменных из полей формы       
if (isset($_POST['name1']))         {$name1         = $_POST['name1'];      if ($name1 == '')   {unset($name1);}}
if (isset($_POST['email1']))        {$email1        = $_POST['email1'];     if ($email1 == '')  {unset($email1);}}
if (isset($_POST['text']))          {$text          = $_POST['text'];       if ($text == '')    {unset($text);}}
if (isset($_POST['sab']))           {$sab           = $_POST['sab'];        if ($sab == '')     {unset($sab);}}
//стирание треугольных скобок из полей формы
if (isset($name1) ) {
$name1=stripslashes($name1);
$name1=htmlspecialchars($name1);
}
if (isset($email1) ) {
$email1=stripslashes($email1);
$email1=htmlspecialchars($email1);
}
if (isset($text) ) {
$text=stripslashes($text);
$text=htmlspecialchars($text);
}
// адрес почты куда придет письмо
$address="mail@mail.ru";
// текст письма 
$note_text="Тема : $urok \r\nИмя : $name1 \r\n Email : $email1 \r\n Дополнительная информация : $text";
 
if (isset($name1)  &&  isset ($sab) ) {
mail($address,$urok,$note_text,"Content-type:text/plain; windows-1251"); 
// сообщение после отправки формы
echo "<p style='color:#009900;'>Уважаемый(ая) <b>$name1</b> Ваше письмо отправленно успешно. <br> Спасибо. <br>Вам скоро ответят на почту <b> $email1</b>.</p>";
}
 
?>

@koders · 04.09.2018, 11:03

Сообщение от SergeyKagen

Я немного не представляю как можно взломать сайт через форму

Взламывают не через форму, а через её обработчик. Это один из наиболее простых способов, если, конечно, сайт не использует get-параметры. По сути, форма — лишь маячок, что некая страница принимает данные от пользователя.
В первую очередь, ищут SQL-инъекции. В случае успеха это позволит вытянуть данные из базы.
В Вашем примере ничего особо критичного нет, в базу не пишите, код через eval() не выполняете, название файлов, которые могут выводиться на экран, не обрабатываете.

Зато по логике программы есть вопросы. Если параметр пуст (например, $name1), вы его удаляете. После, в 25 строке формируете строку, и только после этого проверяете (27) существование. Как минимум, 25 должна быть после 27.
И в самой 27 нужно проверять и остальные параметры: $email1 и $text. Неправильно подавлять ошибки и считать, что всё работает. $email1 и $text могут быть пустыми? Тогда для них не нужен unset().

@SergeyKagen · 04.09.2018, 12:08 **[ТС]**

Это код не мой, я его взял с сайта. Поля не могут быть пустыми, однако надо мне ещё будет сделать отправку номера мобильного телефона, и проверить что бы там были только цифры ну и знак +

Новые блоги и статьи Все статьи Все блоги /
Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .	Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .
SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .	Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .

@SergeyKagen 7 / 8 / 3 Регистрация: 02.04.2018 Сообщений: 531
	04.09.2018, 12:08 [ТС]
	Это код не мой, я его взял с сайта. Поля не могут быть пустыми, однако надо мне ещё будет сделать отправку номера мобильного телефона, и проверить что бы там были только цифры ну и знак + 0