kleine anpassung an logmeldungen und kommentaren

2021-03-04 19:47:41 +01:00 · 2021-03-04 19:47:41 +01:00 · 159d831c17
parent a82ea913bd
commit 159d831c17
1 changed files with 11 additions and 6 deletions
--- a/lib/request.php
+++ b/lib/request.php
@ -175,7 +175,7 @@ class Request extends BaseClass {
        // Wenn es der erste Request ist -> return true
        $count = count($timestamps);
        if ($count === 0) {
-            $this->log->i("First request from {$_SERVER['REMOTE_ADDR']}");
+            $this->log->d("First request from {$_SERVER['REMOTE_ADDR']}");
            return true;
        }
        $first = $timestamps[array_key_first($timestamps)]['time'];
@ -189,15 +189,15 @@ class Request extends BaseClass {
            return false;
        }
        
-        // Wenn der letzte Request weniger als 10 Sekunden her ist -> return
+        // Wenn der letzte Request weniger als 5 Sekunden her ist -> return
        // false
        if (($now - $last) < 5) {
            $this->log->n("Time between two requests under 5 seconds");
            return false;
        }

-        // Wenn die durchschnittliche Dauer zwischen allen Anfragen unter 30
-        // Sekunden liegt -> return false
+        // Wenn die durchschnittliche Dauer zwischen allen Anfragen bei mehr
+        // als 3 anfragen unter 30 Sekunden liegt -> return false
        if (($average) < 30 && $count > 3) {
            $this->log->n("Duration between all requests under 10 seconds");
            return false;
@ -235,7 +235,12 @@ class Request extends BaseClass {

        /**
         * Verschickt die Mail mit dem Verifizierungslink.
-         * TODO: Reicht filter_input()? Was kann hier passieren?
+         * TODO: Reicht filter_input()? Was kann hier passieren? Beim Check
+         * der Mailadresse verwenden wir FILTER_VALIDATE_EMAIL. SANITZE
+         * könnte eine Mail an eine andere Adresse schicken, als dann in der
+         * Datenbankn gespeichert wäre. Besser hier auch VALIDATE benutzen?
+         * TODO: Wie sieht das mit dem Risiko aus, daß jemand über die
+         * Konfigurationsdatei Code einschleust? Was kann man dagegen tun?
         */

        $mailTo = filter_input(INPUT_POST, 'email', FILTER_SANITIZE_EMAIL);
@ -251,7 +256,7 @@ class Request extends BaseClass {
        $mailbody = MAILTEXT1 . " {$mxdomain} " . MAILTEXT2 . "\r\n\r\n" . $link . $mailClosure;
        if (mail($mailTo, $mailSubject, $mailbody, $mailFrom))
        {
-            $this->log->i("Validationmail successfull send");
+            $this->log->n("Validationmail successfull send to {$mailTo}");
            return true;
        }
        $this->log->e("Sending validation mail failed");