یک سایت ساده که چند صفحه نمایش عکس و یک فرم تماس با ما داره برای امنیت سایت باید چیکار کرد از چه راهی ممکن هک شود؟

درود

یه نکته => هر نوع داده ورودی به سایت باید فیلتر بشه

پس ورودی های سایتتون رو مثل فرم تماس با ما را امن کنید

یک سایت ساده که چند صفحه نمایش عکس و یک فرم تماس با ما داره برای امنیت سایت باید چیکار کرد از چه راهی ممکن هک شود؟

فرم تماس رو به چه زبونی نوشتین؟
از چه متدی استفاده کردین get یا post
سرور شما شیر هست یا اختصاصی یا مجازی؟
لینک بدین

این فرم تماس منه
فایل cantat.php
<script>
$(document).ready(function() {
$('#submit').click(function() {
$('#submit').attr('value', 'Please wait...');
$.post("sendemail.php", $("#contactform").serialize(), function(response) {
$('#success').html(response);
$('#submit').attr('value', 'SEND');
});
return false;
});
});
</script>


<form id="contactform" action="" method="post" class="smart-green">
<h1>Contact Form
<span>Please fill all the texts in the fields.</span>
</h1>
<label>
<span>Your Name :</span>
<input id="name" class="form" type="text" name="name"/></label><br />
<label>
<span>Your Email :</span>
<input id="email" class="form" type="email" name="email" /></label><br />
<label>
<span>Subject :</span>
<input id="subject" class="form" type="text" name="subject" /></label><br />
<label>
<span>Message :</span>
<textarea id="message" class="form" name="message"></textarea></label><br />
<input id="submit" type="button" value="send" class="button" /><br />
<div id="success" style="color: red;"></div>
</form>

فایل sendemail.php

<?php
$name = $_POST['name'];
$email = $_POST['email'];
$message = $_POST['message'];

$to = 'youremail@domain.com';
$subject = $_POST['subject'];
$message = 'FROM: '.$name.' Email: '.$email.'Message: '.$message;
$headers = 'From: youremail@domain.com' . "\r\n";
function fnValidateStringr($name)
{
#letters and space only
return preg_match('/^[A-Za-z\s ]+$/', $name);
}


if (filter_var($email, FILTER_VALIDATE_EMAIL)) { // this line checks that we have a valid email address
mail($to, $subject, $message, $headers); //This method sends the mail.
echo "Your email was sent!"; // success message

}else{
echo "Invalid Email, please provide an correct email.";
}
?>

ممنون میشم کمکم کنید

این ته ضعف امنیتی هست برادر من از این ضعیف تر نمیشه.
اول اینکه تو فرمت نه کچپا گذاشتی نه csrf گذاشتی همینطوری فرم رو ارسال کردی باید این چیزایی که گفتمو رو فرمت اضافه کنی .
حالا از اون ور داده هاتو همینطوری ریختی تو متغییر هیچ کاری نکردی باید همه ورودی هاتو چک کنی و کد های مخربشو خنثی کنی .
بعدشم هیچ موقط فرم تماس با ما رو ایمیل نمی کنند بلکه تو دیتابس ذخیره می کنند .
اگه همه اینکارا که گفتمو بکنی تازه میتونم بگم فقط امنیت فرم تماس با مات در حد خوبه

این کچپا و csrfچیه؟
میشه کداشو برام بزارین ممنون میشم؟
چیکار کنم که ایمیل بشه من که دیتابیس ندارم؟
در ضمن من خواهر شما هستم.

این کچپا و csrfچیه؟
میشه کداشو برام بزارین ممنون میشم؟
چیکار کنم که ایمیل بشه من که دیتابیس ندارم؟
در ضمن من خواهر شما هستم.

کپچا همون کد امنیتی هستش که می تونید از کپچا گوگل استفاده کنید!
شما می تونید با phpmyAdmin یک دیتابیس بسازید و توسط PHP به اون دیتابیس وصل بشید و توسط کوئری MySQL اون رو در جدول ثبت کنید!
البته این در صورتی هستش که شما بخواین اطلاعات رو در صفحه ای جدا و صفحه ای که توسط خودتون نوشته شده بیارین ولی با همون کد بالایی هم ایمیل به ایمیل شما ارسال می شه مثل yahoo و ... !

این کچپا و csrfچیه؟
میشه کداشو برام بزارین ممنون میشم؟
چیکار کنم که ایمیل بشه من که دیتابیس ندارم؟
در ضمن من خواهر شما هستم.

کپچا یه تصویر امنیتی است که شاید شما در سایت های دیگه دیده باشید که برای انجام بعضی کار های باید متن این تصویر تصادفی رو وارد کنید . با PHP می تونید خودتون یه کچپا تولید کنید البته بحسش زیاده اینجا جا نمیشه می تونید از مقاله ایی که در امضا بنده هست درست کردن کپچا رو یاد بگیری یا از کپچا آماده استفاده کنید . این سایت هم کچپا داره هم csfr : http://engmmrj.ir/site/contact
Csrf رو وارد بحث امنیتیش نمیشم ولی یه فیلد hidden است که درون فرم قرار می دهیم که مقدارش یه عدد تصادفی می باشد این مقدار رو در سشن ذخیره می کنیم و داخل فیلد hidden هم قرار می دهیم و موقع ارسال فرم چک میکنیم که آیا این فیلد اومده و آیا مقدارش با مقدار سشن برار است یا خیر
برای ارسال ایمیل باید مواظب باشید و ورودی های کار بر رو همجوره چک کنید چون ممکنه هک بشید و از ایمیل شما می تونه به هر ایمیل آدرسی ایمیل بزنه از طرفه ایمیل شما .
یک دیتابیس ایجاد کنید و موارد بالا رو درونش قرار دهید .
این تایپیک به شما کمک میکنه
http://barnamenevis.org/showthread.php?281805-%D8%A7%D9%86%D9%88%D8%A7%D8%B9-%D8%AD%D9%85%D9%84%D9%87-%D9%87%D8%A7%DB%8C-%D9%86%D9%81%D9%88%D8%B0-%D9%88-%D8%B3%D9%88%D8%A1%D8%A7%D8%B3%D8%AA%D9%81%D8%A7%D 8%AF%D9%87-%D8%A7%D8%B2-%D8%B5%D9%81%D8%AD%D8%A7%D8%AA-%D9%88%D8%A8&highlight=%D8%B1%D8%A7%D9%87+%D9%87%D8%A7%DB%8C+%D 9%85%D9%82%D8%A7%D8%A8%D9%84%D9%87+%D8%A8%D8%A7+%D 9%87%DA%A9
و
http://barnamenevis.org/showthread.php?406867-function%D9%87%D8%A7%DB%8C-%D9%85%D8%B1%D8%A8%D9%88%D8%B7-%D8%A8%D9%87-%D8%AC%D9%84%D9%88%DA%AF%DB%8C%D8%B1%DB%8C-%D8%A7%D8%B2-XSS&highlight=%D8%A7%D9%85%D9%86%DB%8C%D8%AA+%D8%AF%D8 %A7%D8%AF%D9%87+%D9%87%D8%A7%DB%8C+%D9%88%D8%B1%D9 %88%D8%AF%DB%8C

میشه این فرم تماس رو ببینید که مشکل امنیتی داره یا نه؟