Infos zu SUBSCRIBE_NEWSLETTER

[Frezl]

Hallo allerseits,

ich habe grade ein Plugin ins Archiv gestellt, dessen Umsetzung ich gerne mit euch diskutieren möchte: http://www.mozilo.de/forum/index.php?action=media;sa=item;in=183

Das Problem:
Die Einträge, die von Seitenbesuchern (Frontend) kommen, sollen im Admin (Backend) bearbeitet werden können.

Die Lösung:
Im Admin können nur Formularfelder für Config-Parameter eingebaut werden, ich kann also die Textdatei, in die das Plugin die Einträge speichert, nicht direkt im Admin anzeigen. Eine Lösung wäre, die Einträge vom Frontend direkt (an der Klasse Properties vorbei) in die Config zu schreiben. Das wäre zwar möglich, bei fehlerhafter Umsetzung aber ein höllisches Sicherheitsleck. Ich habe mich daher dazu entschieden, die Textdatei beim Aufruf des Plugins mit der Config zu synchronisieren. Anscheinend findet beim Schreiben in die Config über die Klasse Properties schon eine Entschärfung der Eingaben statt, zusätzlich habe ich selbst noch Sicherheitsfunktionen eingebaut.

Warum ich die Frage diskutieren möchte:
Ich hatte das Problem "Inhalte von Frontend und Backend miteinander synchronisieren" schon mal bei einem anderen CMS. Dort konnte ich keine so einfache Lösung finden. Drum frage ich mich, ob Mozilo hier besondere Lücken lässt, oder ob meine Umsetzung trotzdem sicher ist. Die zweite Frage wäre ganz allgemein, wie man in zukkünftigen Versionen von MoziloCMS Nutzerinhalte ohne Sicherheitsrisiken ins Backend bringen kann.

Viele Grüße
Frezl

[stefanbe]

in der 2.0 hatt sich in der richtung einiges geändert als beispiel das AccessControl

lg stefanbe

[djr]

Komplexe Plugin-Administration die nicht über's BE geht, löse ich in der 1.12 über eine im FR eingebetteten Adminoberfläche.
Dann muss aber alles selbst sicher gemacht werden.

Und hier schon angesprochen.

Was das Plugin nicht leistet:
- Mail-Adressen werden nicht auf Gültigkeit überprüft

Warum filterst Du nicht mindestens mit filter_var + FILTER_VALIDATE_EMAIL?

[hausl78]

zusatzinfo .. FILTER_VALIDATE_EMAIL kann keine Mail Adressen/Domains mit Umlauten @müller.de  etc..

[Frezl]

Ich hab mich schon über die einfache Lösung gefreut. Aber dann hat diese Funktion wohl das gleiche Problem wie die meisten RexExes für E-Mails: Es deckt nicht alle Möglichkeiten ab.

Die beste Lösung wäre also, eine Bestätigungsmail zu verschicken, die der Empfänger quittieren muss. Aber das geht über den Funktionsumfang raus, den ich in diesem Plugin zur Zeit umsetzen will.

[hausl78]

Ohne Bestätigungsmail klicken geht sowieso nicht, denn selbst wenn die Adresse syntaktisch korrekt ist, kann dir keiner bestätigen ob es die Domain gibt und selbst ein DNS Lookup wird nicht immer *verlässlich* funktionieren. Und selbst wenn es die Domain @irgendwas.de gibt heißt das noch lange nicht das es auch den Bneutzer zb blabla@  gibt, also hier bringt auch der DNS Lookup nix, der geht nur auf die Domain.

Ich würde entweder mit Bestätigungslink oder eben syntaktisch prüfen dann aber nur grob.. also zB. mind zwei zeichen, ein @ Zeichen, danach mind. zB 3 Zeichen, dann danach ein Punkt und danach mind. 2 Zeichen. Ganz grob jetzt.

LG
Jürgen

[wasp]

Neben der reinen Technik: OPT-in / OPT-out ist afaik in DE sowieso gesetzlich obligatorisch (btw. auch im Newslettertext!). Somit wäre neben der reinen Validierung der Mailadresse tatsächlich einiges mehr zu machen... OFFTOPIC: Daher weichen "bei mir" viele auf fb-Seiten als Infoverteiler aus, um dann wieder das Impressum der fb-Site für Winkeladvokaten zu vergessen...
Bei Interesse zur INFO: Impressum bei facebook nötig?

[djr]

zusatzinfo .. FILTER_VALIDATE_EMAIL kann keine Mail Adressen/Domains mit Umlauten @müller.de  etc..

Stimmt zwar, aber:
In Verbindung mit idn_to_ascii() _{(PHP 5 >= 5.3.0, PECL intl >= 1.0.2, PECL idn >= 0.1)} sollte es gehen.
Behauptet: sabel.bluegfx.de

[wasp]

@djr: Technisch: Sehr gut.
Faktisch / Praktisch sprengt es für mich den vertretbaren Rahmen, da m.E. die -Echtheit-
einer Zertifizierung (!?) E-Mail-Adresse  (!) übersteigt.