защита формы

[Lihatskiy]

Сайт из себя представляет просто "точку входа", где будут размещены кнопки-картинки для перехода на другие полноценные сайты, расположенные на поддоменах.

Соответственно этот сайт не имеет базы данных вообще, написан на яваскрипте (для всевозможных эффектов-заморочек).
И ещё туда решил втулить форму обратной связи, которая будет слать письмо на e-mail.

Так вот, вопрос следующий. От чего мне нужно в данном случае обезопасить форму?

Ну то есть MySQL-инъекции не страшны, так как своей базы данных сайт не имеет, о чем я уже писал. От каких хитрых штук мне нужно сделать защиту?

[ustas]

сперва от спама защитись

[Lihatskiy]

каптча - обязательно, это да.
я имею ввиду через разные инъекции какой опасности подвергается сайт, если он не имеет базы данных?

[pingwinator]

Цитата:

Сообщение от Kruizer

каптча - обязательно, это да.
я имею ввиду через разные инъекции какой опасности подвергается сайт, если он не имеет базы данных?

ну джаваскрипт резать - а то письмецо откроешь, а оно редикнуть можеть на нужный сайт или куки спионерить (зависит от безтолковости почтовика)

[Lihatskiy]

думаю gmail.com достаточно толковый почтовик.
меня больше интересует на стороне сервера лежащим файлам ничего не угрожает?
то есть имеются ли возможности удаления файлов через форму?

[PhoeniXX]

Цитата:

Сообщение от Kruizer

думаю gmail.com достаточно толковый почтовик.
меня больше интересует на стороне сервера лежащим файлам ничего не угрожает?
то есть имеются ли возможности удаления файлов через форму?

Через форму - нет, а вот сделать HTTP DELETE можно и без формы, другой вопрос как настроен веб сервер, и как он отреагирует на него. Обычно они игнорят такие запросы для статик контента.

Почесав затылок, юзер дописал через 30 секунд
А скрипт нужно резать всёравно, и не надеятся на гмейл.

[Lihatskiy]

можно подробнее об "резать скрипт"?
хочу реализовать максимум функционала на яваскрипте, чтоб работало без перезагрузки и с красивыми эффектами.

если фильтровать данные при помощи регулярных выражений, будет достаточно безопасно?

[PhoeniXX]

можно вырезать теги <script>, но здесь есть разные варианты того как они указаны, ведь так тег может рендериться по кускам через document.write.

самый простой способ, это в том месте на сервере куда прийдут данные этой формы - энкодить все то что пришло, тобишь заменять все html entity (<,&, >,etc) на их соответсвтующие коды. Тогда в случае XSS - в письме просто будет текстом теги скритп, но они не выполнятся.
Энкодить это на клиенте на javascript-е не сильно разумно, так как можно сделать POST этих данных формы вручную через тот же Fiddler, и ему подобные.

[TIGR]

"возможность удаления файлов через форму" записал себе в мемы.

всякие твои красивости никаким образом не ломаются при исопльзовании пхп. по мойму ты подменяешь несколько понятий и путаешься.

в общем решение для тебя:
1. https://phpids.org/
или
2. Если очень хочется писать только на js, и ты уверен в своих знаниях именно на js - то ставишь и спользуешь nodejs.

и самое главное почитай что такое chmod.

[Lihatskiy]

Я различаю какие функции выполняются на стороне сервера, а какие - на стороне пользователя.

Вообще нормальные сайты делаю на PHP фреймворке.
Так всё проще и вопросы безопасности уже учтены в функциях фреймворка.

Но так как именно от этой странички мне нужна только красивая панелька с несколькими красивыми кнопками-ссылками для редиректа на поддомены, то тут я решил обойтись без PHP фреймворка.

Вместо того решил побаловаться с яваскриптом, а в частности с jQuery и его плагинами.
И всё бы ничего, если бы я не решил, что "а вот тут бы симпатично смотрелась кнопочка с конвертиком, которая будет страничку плавно растворять в форму обратной связи"))

И пришлось поднять вопрос безопасности такой формы. Это единственный скритп PHP, который тут будет присутствовать.

И таки да, экспериментирую)
Больше с фреймворками, так как считаю, что незачем изобретать велосипед.

Всем спасибо за участие!

[Lihatskiy]

Тигр, спасибо за ссылку.
PHPIDS интересная штука, похоже.
Попробую подключить.

Было бы вообще здорово если б документация на русском была.