Re: [Galette-discussion] Fonction mailing: reconnaître les adresses invalides

[Jacques-Louis KREISS <jlk@xxxxxxxxxxxx>]

Stéphane Salès a écrit :
> On Thu, Jan 26, 2006 at 10:21:37PM +0100, Jacques-Louis KREISS wrote :
>
> > Ceci est expliqué, par exemple, ici:
> > http://aide.ouvaton.org/Fonction-mail-le-cinquieme.html
>
> J'y ai rajouté dans ma copie locale du cvs ce sera committé ce soir, pour
> info on peut faire la même chose avec ini_set()(qu'on utilise d'ailleurs
> pour l'envoi par smtp).
>
>
> > Reste aussi les problèmes de sécurité ("Mail-injection") que je ne 
> > maîtrise pas, mais comme l'accès au mailing est réservé aux admins, ce 
> > n'est peut-être pas si crucial que ça...
>
> Je suis en train de me pencher sur les problèmes de mail-injection et je
> ne comprends pas trop le rapport avec le Return-path en fait :)
> J'ai bien compris l'intérêt d'ajouter les \r\n, ainsi que l'interêt
> d'enlever les \r et \n dans les input utilisateur(ce sera ce soir dans
> le cvs) mais le Return-Path je comprends pas bien le rapport, si vous
> avez des précisions, je suis preneur.
>
> P.S : un bon lien sur le mail injection, la technique est assez simple à
> mettre en oeuvre ca fait froid dans le dos :
> http://securephp.damonkohler.com/index.php/Email_Injection
>
> Bonne journée.

Merci beaucoup pour ces apports à notre logiciel de gestion d'adhérents 
préféré !
Pour le mail-injection, tout ce que j'ai cru comprendre, c'est qu'on 
pouvait utiliser le 5ème argument de la fonction mail() pour faire des 
choses pas très sympa.
http://xforce.iss.net/xforce/xfdb/9966
Ce cinquième argument est passé directement à sendmail. Apparemment, il 
est désactivé chez nombre d'hébergeurs qui activent le safe-mode de php.
Donc ma "solution" ne doit pas marcher chez ces hébergeurs. Peut-être 
que le ini_set est une meilleure solution ?
-- Jacques