Zoals ik het begrijp, verstuurt dit script twee e-mailberichten (als de bedank-mail aan staat):
- één bericht gaat naar de contactpersoon van de website (dit is het primaire doel van het contact-formulier, een bericht sturen aan een medewerker van de website)
- één bericht gaat terug naar de afzender (de bedank e-mail, mede ter bevestiging dat het versturen van de contact gegevens is gelukt)
Is het je bedoeling om het eerste bericht te personificeren? Dit lijkt mij vreemd? Of gebruik je het contactformulier om berichten uit te wisselen aan verschillende gebruikers van een site? Als ik ergens personificatie zou gebruiken (in de oorspronkelijke opzet van het script) zou ik dit in de bedankmail doen. Dit zou je kunnen bereiken door een aanhef-veld (voor de afzender dus) op te nemen in het contactformulier.
Dit script is wel enigszins gedateerd, het is bijna 10 jaar oud lol. Zoals (waarschijnlijk) terecht wordt opgemerkt in de reacties op dit script is deze vatbaar voor MIME header-injectie. Vrij vertaald betekent dit dat dit contactformulier misbruikt zo kunnen worden voor het versturen van spam. Los hiervan zit er ook geen andere antispam-beveiliging in zoals een CAPTCHA of een timeout op IP-adres of wat dan ook.
Je hebt eigenlijk de headers helemaal niet nodig - de e-mailberichten zelf zijn plaintext, en de afzendgegevens zou je op kunnen nemen in het bericht zelf. Het is alleen een gemaksding, je kunt rechtstreeks reageren op e-mails. Ook zou ik er niet voor kiezen om e-mailadressen bekend te maken op een website, deze worden ook gecrawled door bots en binnen de kortste keren ontvang je hier spam op... Los van security zitten er in dit script dus ook een aantal zaken die niet praktisch zijn.
Het is mijn ervaring dat geen twee contactformulieren hetzelfde zijn. Het lijkt mij dus makkelijker om bij het eind (je doel) te beginnen. Wat wil je met jouw contactformulier doen? Wie moet er mail ontvangen? Is dit een plaintext mail, of HTML (met huisstijl en logo?) of allebei?
Mijn einddoel is de volgende: het moet dienen voor een psychologenpraktijk, bestaande uit meerdere psychologen, bestaande uit Mr x, Mr y en Mr z. Een client moet kunnen mailen naar zijn favoriete psycholoog. Die krijgen een persoonlijke html mail
Als de client naar Mr x mailt, dan moet Mr x een mail als volgt krijgen: "Beste Mr X, bla bla bla"
Als de client naar Mr x mailt, dan moet Mr y een mail als volgt krijgen: "Beste Mr Y, bla bla bla"
Als de client naar Mr x mailt, dan moet Mr z een mail als volgt krijgen: "Beste Mr Z, bla bla bla"
De bedankmail moet uiteraard blijven (in html). Hier is het mij wel gelukt om de persoonlijke naam van de verzender erbij te krijgen. Waarom mij dit niet lukt bij de emails naar de ontvangers is me niet duidelijk.
In de huidige vorm bevat het contactformulier enkel plaintext e-mail. Als je een HTML-variant wilt, zul je een MIME-mailbericht moeten bouwen. Je hebt dan extra headers nodig. Om output te escapen (te ontdoen van speciale betekenis) binnen deze HTML-mail dien je ook aan te geven met welke karakterset (of karakter-encodering, zo je wilt) je werkt. Je zult ook een karakterset moeten specificeren voor het bouwen van de HTML-variant zelf, bij voorkeur dezelfde als die je in je contactformulier-pagina gebruikt. Wil je dus een uitgebreide variant (met HTML) of enkel een plaintext bericht?
Wil je deze functionaliteit invoegen in een bestaande pagina, of wordt dit een aparte, op zichzelf staande pagina?
<?php
error_reporting(E_ALL); // lelijke foutjes weergeven
// noot: dit zou ik alleen doen in een test- of ontwikkelomgeving, maar niet in een productie-omgeving
// noot: het volgende stuk CSS zou ik naar een (apart) CSS bestand verhuizen; daarnaast zou ik een
// extra div introduceren met een class, als een wrapper om deze functionaliteit, zodat alleen het
// contactformulier deze stijl krijgt, je voorkomt hiermee "hardcoding" van "globale" stijlen zoals
// body, table, etc.; daarnaast zijn tables niet echt meer van deze tijd...
?>
<style type="text/css">
<!--
body { background-color: #f1f1f1; }
div.contact p,
div.contact table { font-family: Verdana; font-size: 9pt; color: #000000; border: 1px; }
div.contact table td.kop { background-color: #b9b9b9; border: 1px; }
div.contact form input,
div.contact form textarea { font-family: Verdana; font-size: 9pt; border: 1px solid; background-color: #e1e1e1; }
div.contact form select { font-family: Verdana; font-size: 9pt; border: 1px solid; }
div.contact div.fout { color: #ff0000; }
//-->
</style>
<?php
// configuratie
// noot: gebruik heldere namen voor variabelen, gebruikt dus $config in plaats van $c ofzo...
// zo ook voor de namen van de configuratie-variabelen zelf
$config = array(
'naam_site' => 'Jouw website',
'stuur_bedank_mail' => true,
'data_ontvangers' => array(
1 => array(
'naam' => 'X',
'geslacht' => 'm',
'e-mail' => 'x@x.org',
),
array(
'naam' => 'Y',
'geslacht' => 'v',
'e-mail' => 'y@y.com',
),
array(
'naam' => 'Z',
'geslacht' => 'm',
'e-mail' => 'z@z.be',
),
// en hier kun je nog meer mensen toevoegen...
),
);
// noot: het volgende deel is ook niet echt handig; eigenlijk zou je de acties op willen delen in
// aparte stukken; nu moet je namelijk het formulier verwerken terwijl je een pagina aan het
// afdrukken bent; het was beter geweest als je het verwerken van het formulier en het versturen
// van de e-mail in een aparte actie zat, en dat je daarna werd doorverwezen naar een bedank-pagina
if (isset($_POST['verzenden'])) {
$fouten = array();
// noot: het volgende deel bevatte een ... elseif ... elseif ... elseif ... constructie, deze vertelt
// je slechts wat de eerstvolgende fout in je formulier-invoer was, dit lijkt mij zwaar irritant
// noot: in plaats van empty() kun je misschien beter kijken of de invoer andere tekens bevat dan enkel
// spaties en regelovergangen; dit doe je met trim()
if (!isset($_POST['onderwerp']) || trim($_POST['onderwerp']) == '') {
$fouten[] = 'Je moet een onderwerp invullen';
}
if (!isset($_POST['naam']) || trim($_POST['naam']) == '') {
$fouten[] = 'Je moet je naam invullen';
}
// noot: controleer of de afzender een geldige ontvanger heeft geselecteerd
if (!isset($_POST['naar']) || !preg_match('#^[1-9][0-9]*$#', $_POST['naar']) || !isset($config['data_ontvangers'][$_POST['naar']])) {
$fouten[] = 'Je moet een (geldige) ontvanger selecteren';
}
// noot: als je PHP-versie nieuw genoeg is, kun je misschien beter filter_var gebruiken
// omdat de geldigheid van het e-mailadres verder niet uitmaakt, laat ik deze check onveranderd
// wel is eregi() vanaf PHP 5.3.0 deprecated, dus wellicht wil je liever preg_match gebruiken
if (!isset($_POST['email']) || trim($_POST['email']) == '' || !preg_match('#^(.+)@(.+)\.(.+)$#', $_POST['email'])) {
// noot: email is een glasachtige laag op dakpannen, bakstenen etc.
// @see http://nl.wikipedia.org/wiki/Email_%28glazuur%29
// e-mail is elektronische post
$fouten[] = 'Je moet een geldig e-mailadres invullen';
}
if (!isset($_POST['bericht']) || trim($_POST['bericht']) == '') {
$fouten[] = 'Je moet een bericht invullen';
}
if(count($fouten) == 0) {
// noot: omdat dit een PLAINTEXT e-mail is, gebruiken we GEEN headers
// als je dit wel wilt moet je hier een MIME mail van maken en zijn er extra controles op invoer nodig
// noot: omdat de mail PLAINTEXT is, hoeft deze ook niet ge-escaped te worden, het is immers geen HTML...
// noot: omdat we geen headers gebruiken, kun je dus ook niet reageren op dit bericht, wellicht wil je hier
// een vermelding van maken in dit bericht zelf, zoiets als
// "dit is een automatisch gegenereerd bericht, u kunt hier niet op reageren"
$ontvanger = $config['data_ontvangers'][$_POST['naar']];
$aanhef = $ontvanger['geslacht'] == 'v' ? 'mevrouw' : 'heer';
$bericht = array();
$bericht[] = 'Geachte '.$aanhef.' '.$ontvanger['naam'].',';
$bericht[] = '';
$bericht[] = $_POST['naam'].' heeft u zojuist het volgende bericht verstuurd:';
$bericht[] = '';
$bericht[] = $_POST['bericht'];
$bericht[] = '--------------------------------------------------';
$bericht[] = 'Deze mail is verzonden vanaf '.$config['naam_site'];
mail($ontvanger['e-mail'], $_POST['onderwerp'], implode("\n", $bericht));
if($config['stuur_bedank_mail']) {
$bericht = array();
$bericht[] = 'Bedankt voor je mail. We zullen je vraag zo spoedig mogelijk in behandeling nemen.';
$bericht[] = '--------------------------------------------------';
$bericht[] = 'Dit is een auto-gegenereerde mail die is verzonden vanaf '.$config['naam_site'];
mail($_POST['email'], 'Bedankt', implode("\n", $bericht));
// noot: mogelijk wil je het bedank e-mailbericht inhoudelijk nog wat uitbreiden, zodat de afzender
// kan zien wat deze gezegd heeft...
// noot: om te controleren of een e-mail daadwerkelijk succesvol verzonden is zou je de returnwaarde
// van de mail()-aanroep moeten controleren...
?><div class="contact">
<p>Je e-mail is succesvol verzonden. Er is een e-mail gestuurd naar je adres.</p>
</div><?php
} else {
?><div class="contact">
<p>Je e-mail is succesvol verzonden.</p>
</div><?php
}
} else {
?><div class="contact">
<table>
<tr><td class="kop"><p align="center"><b>Fout:</b></td></tr>
<tr><td><?php
foreach ($fouten as $fout) {
?><div class="fout"> - <?php echo htmlspecialchars($fout, ENT_QUOTES) ?></div><?php
}
?>Klik <a href="javascript:history.go(-1);">hier</a> om terug te gaan naar het formulier</a>
</td></tr>
</table>
</div><?php
}
} else {
?><div class="contact">
<form method="post" action="<?php echo htmlspecialchars($_SERVER['PHP_SELF'], ENT_QUOTES) ?>">
<table>
<tr><td colspan="2" class="kop"><p align="center"><b>Contact</b></td></tr>
<tr>
<td width="24%">Aan:</td>
<td width="76%">
<select size="1" name="naar">
<option value="0">- selecteer -</option><?php
// noot: we geven geen enkele informatie over de e-mailadressen van de ontvangers!
foreach ($config['data_ontvangers'] as $id => $data) {
// noot: escaping mag je verder zelf uitzoeken, ik weet niet of je een ISO of UTF-8 charset gebruikt
?><option value="<?php echo htmlspecialchars($id, ENT_QUOTES) ?>"><?php echo htmlspecialchars($data['naam'], ENT_QUOTES) ?></option><?php
}
?></select>
</td>
</tr>
<tr>
<td width="24%">Onderwerp:</td>
<td width="76%"><input type="text" name="onderwerp" size="38" /></td>
</tr>
<tr>
<td width="24%">Je naam:</td>
<td width="76%"><input type="text" name="naam" size="38" /></td>
</tr>
<tr>
<td width="24%">Je e-mailadres:</td>
<td width="76%"><input type="text" name="email" size="38" /></td>
</tr>
<tr>
<td width="24%">Bericht:</td>
<td width="76%"><textarea rows="7" name="bericht" cols="32"></textarea></td>
</tr>
</table>
<br />
<input type="submit" name="verzenden" value="verzenden" />
</form>
</div><?php
}
?>
EDIT:
- eenvoudige regex voor e-mail controleert nu of de delen voor @, tussen @ en . en na . niet leeg zijn
- aanroep van versturen contact-mail nu iets korter ($config['data_ontvangers'][$_POST['naar']] vervangen door $ontvanger)
Bedankt dat is zo ongeveer wat ik wil, nu moet ik nog verder bouwen op het volgende:
- zorgen dat beide emails (zowel verzender als ontvanger) niet meer in mijn spambox komen
- zorgen voor captcha beveiliging
Zodra ik een oplossing heb, ga ik dit hier posten.
Thomas - 04/06/2014 13:29 (laatste wijziging 04/06/2014 13:36)
Moderator
Gebruikt je (e-mail) provider programma's als SpamAssassin?
Als ik e-mail probeer te versturen vanaf mijn webhost naar een specifiek e-mailadres, wordt deze altijd geflagged als spam. Dit kan ook (deels) komen doordat de webhost geen positieve reputatie heeft (mogelijk te boek staat als notoire spammer).
Je kunt in GMail of Thunderbird (ik weet niet wat jij gebruikt om mail te lezen?) altijd de broncode opvragen van de verstuurde e-mail, hier is dan mogelijk header-informatie toegevoegd die informatie geeft over het gebruikte antispam-( en soms ook antivirus-)programma van een tussenstation en ook informatie verschaft over de criteria waarom je e-mail spam-punten scoort.
Ik vermoed dat je e-mail geflagged wordt als spam omdat de berichten nogal kort zijn en er geen afzender wordt vermeld, dit is in je mail waarschijnlijk gewoon een machinenaam. Het bouwen van een fatsoenlijke HTML-mail is waarschijnlijk een betere oplossing (dus een volwaardige MIME-mail met headers enzo) maar als je dit doet dan moet je je invoer ook beter controleren. Als je bijvoorbeeld de naam van de afzender niet controleert op regelovergangen en dergelijke, kun je MIME-headers injecteren in je mail-headers (bijvoorbeeld BCC - deze headers zie je niet in andere e-mailberichten terug wat het lastig maakt om deze op te sporen; waarschijnlijk heb je dat dan niet in de gaten totdat je mailserver geflagged wordt als spammer en/of je boze telefoontjes krijgt van je webhosting bedrijf), wat tot gevolg kan hebben dat je formulier misbruikt kan worden voor het versturen van spam. Dat is de reden dat ik voor nu de headers had verwijderd uit je script.
Het zou al kunnen helpen als je je From, Return-Path en Reply-To headers toevoegt en voorziet van de naam en het e-mailadres van de afzender (je hoeft er dan niet eens een MIME-mail van te maken denk ik) mits deze goed gefilterd worden.
Daarnaast is het belangrijk je bewust te zijn van de gehanteerde character set bij het versturen van (HTML) e-mail, maar ook elders, zoals in je website en database. Houd hier dus ook rekening mee!
Vreemde headers? Die worden waarschijnlijk onderweg toegevoegd, daar doe je niet zoveel aan :].
Ja, bovenstaande headers zou je kunnen toevoegen, maar ik zou het iets anders opschrijven maar dat is deels persoonlijke voorkeur. Wel kan het handig zijn om je headers als array op te stellen, zo kun je in één keer het teken/de tekens voor een regelovergang wijzigen, mocht dit nodig zijn.
Zorg er in ieder geval voor dat je $naam en $email controleert op regelovergangen anders is deze code vatbaar voor MIME header injectie. Voorbeeld: vul voor $email maar eens het volgende in:
Wat is jouw favoriete javascript framework? (S: 18, R: 2)
Gesponsorde links
Actiefste leden van de maand
