Austragen aus Newsletter

[LogicMannn]

Hallo,

beim "Basteln" in der newsletter.php bin ich über folgenden Code gestolpert:

Code: PHP  [Auswählen]

if (isset ($_GET['action']) && ($_GET['action'] == 'process')) {    

...

        if (xtc_validate_email(trim($_POST['email'])) && ($_POST['check'] == 'del') && (strtoupper($_POST['vvcode']) == $_SESSION['vvcode'])) {

                $check_mail_query = xtc_db_query("select customers_email_address from ".TABLE_NEWSLETTER_RECIPIENTS." where customers_email_address = '".xtc_db_input($_POST['email'])."'");
                if (!xtc_db_num_rows($check_mail_query)) {
                        $info_message = TEXT_EMAIL_NOT_EXIST;
                } else {
                        $del_query = xtc_db_query("delete from ".TABLE_NEWSLETTER_RECIPIENTS." where customers_email_address ='".xtc_db_input($_POST['email'])."'");
           
                        $info_message = TEXT_EMAIL_DEL;
                }      
        }
}
 

Kann es sein, dass jeder hier eine beliebige Mailadresse eintragen kann, und sollte man einen Treffer landen, diese dann auch ohne weitere Abfrage des "Sicherheits-Keys" (ich meine den $vlcode nicht den $vvcode) aus der Tabelle TABLE_NEWSLETTER_RECIPIENTS gelöscht wird?

Es weiß natürlich niemand, welche Mailadressen in der TABLE_NEWSLETTER_RECIPIENTS stehen, aber mal ein paar bekannte Adressen von Freunden oder von Leuten die man nicht mag und wo man vielleicht vermuten, die in der Empfängerliste stehen, könnte man hier rausschmeissen.

Oder stehe ich auf dem Schlauch? Oder soll das gar so sein...?

Ich danke für eine kurze Antwort...

Grüße
Frank

Linkback: https://www.modified-shop.org/forum/index.php?topic=26200.0

[fishnet]

Das ist doch prinzipiell so ?
Es bliebe höchstens die Möglichkeit, den Leuten nochmals eine Mail mit einem Bestätigungslink zuzusenden und ob das rechtlich einwandfrei ist, weiß ich nicht.

[LogicMannn]

Ok, ich war halt nur darüber gestolpert, weil beim "Remove-Link" in der Newsletter selbst ja der "Key" mitgegeben wird...

Klar, rechtlich natürlich ein Punkt, Leute die sich austragen wollen, noch einmal mit einem Bestätigungslink zu belästigen ist sicher nicht sinnvoll.

Danke und Gruß
Frank

[noRiddle (revilonetz)]

Lösung könnte sein Newsletter überhaupt nur bei angemeldeten Kunden zuzulassen.
Dafür könnte man die Newsletter-Box nur dann einblenden wenn das zutrifft:

Code: XML  [Auswählen]

{if $smarty.session.customer_id}
    {$box_NEWSLETTER}
{/if}

Gruß,
noRiddle

[LogicMannn]

@noRiddle

das war der eigentliche Plan, wobei dann natürlich immer noch der angemeldete Kunde eine beliebige andere (zufällig vorhandene) Mailadresse rauswerfen kann.

Naja, mal schauen, vielleicht noch mal als "hidden input" den key oder die Mailadresse des angemeldeten Users mit übergeben.
Soweit war ich jetzt noch nicht vorgedrungen...

[noRiddle (revilonetz)]

Naja, 'ne ge-fak-te Mail-Adresse (oder die eines anderen die einem bekannt ist) geht immer, kann man ja auch im Kontaktformular machen.
Kannst das Mail-Feld ja vor-ausfüllen lassen, wie im Kontakt-Formular, wäre auch kundenfreundlich.
Wenn jemand angemeldet ist wird die Mail-Adresse automatisch ins input-Feld eingetragen.
...
Obwohl, hat sich einer mit 'ner anderen Mail angemeldet bzw. sein Konto mit 'ner anderen Mail als er für den Newsletter benutzt, ist es auch Blödsinn,
die Übergabe der Konto-Mail in einem hidden-field wäre da besser.

Gruß,
noRiddle

[LogicMannn]

 

alles klar, danke Euch

Grüße
Frank