You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by Christian Meier <em...@gmx.net> on 2003/04/12 19:24:13 UTC
Denial of Service durch PHP-Script
Hallo,
ich habe auf einer Seite ein Kontaktformular, das die PHP
mail()-Funktion aufruft, nachdem die Eingaben geprüft wurden.
Ich habe bedenken, dass jemand das Formular sehr oft aufruft und damit
den Webserver in die Knie zwingen könnte.
Lässt sich Apache so konfigurieren, damit das nicht passieren kann?
Ich bin für die Konfiguration des Servers nicht verantwortlich.
Haltet ihr es für sinnvoll, jedesmal eine Zufallszahl als Grafik
anzuzeigen, um sicherzustellen, dass das Formular tatsächlich von
einem Menschen und nicht von einem Script abgeschickt wurde?
Gruß,
Christian
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: Denial of Service durch PHP-Script
Posted by in...@147099.vserver.de.
Sie sollten in jedemfall darauf achten das die Ziel-E-Mailadresse nicht
durch Formularwerte beliebig eingestellt werden, und somit zum Spamversand
missbraucht werden könnte.
Benutzen Sie das Modul mod_throttle mit dem Directive ThrottleClientIP und
der Throttle-Policy Request, um die maximal Anzahl von Seitenaufrufen pro IP
pro Zeiteinheit zu begrenzen.
http://www.snert.com/Software/mod_throttle/
-----------
Grüße vom Hobby-Admin!
admin@147099.vserver.de
"Sharedhosting war gestern - VServer ist heute!"
----- Original Message -----
From: "Christian Meier" <em...@gmx.net>
To: <us...@httpd.apache.org>
Sent: Saturday, April 12, 2003 7:24 PM
Subject: Denial of Service durch PHP-Script
> Hallo,
>
> ich habe auf einer Seite ein Kontaktformular, das die PHP
> mail()-Funktion aufruft, nachdem die Eingaben geprüft wurden.
>
> Ich habe bedenken, dass jemand das Formular sehr oft aufruft und damit
> den Webserver in die Knie zwingen könnte.
>
> Lässt sich Apache so konfigurieren, damit das nicht passieren kann?
> Ich bin für die Konfiguration des Servers nicht verantwortlich.
>
> Haltet ihr es für sinnvoll, jedesmal eine Zufallszahl als Grafik
> anzuzeigen, um sicherzustellen, dass das Formular tatsächlich von
> einem Menschen und nicht von einem Script abgeschickt wurde?
>
> Gruß,
> Christian
>
>
> --------------------------------------------------------------------------
> Apache HTTP Server Mailing List "users-de"
> unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
> sonstige Anfragen an users-de-help@httpd.apache.org
> --------------------------------------------------------------------------
>
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: Denial of Service durch PHP-Script
Posted by Christian Meier <em...@gmx.net>.
Ergänzung:
> Haltet ihr es für sinnvoll, jedesmal eine Zufallszahl als Grafik
> anzuzeigen, um sicherzustellen, dass das Formular tatsächlich von
> einem Menschen und nicht von einem Script abgeschickt wurde?
Es ist klar, dass das Formular so oder so abgeschickt wird und den
Server mehr oder weniger belastet.
Trotzdem wird einmal mail() aufgerufen und einmal nicht. Was wäre mit
einem Script, das mySQL-Datenbankzugriffe enthält?
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------