From 159d831c1740bc87eea0ddb3a024f0ae487668a9 Mon Sep 17 00:00:00 2001
From: bernd <bernd@nr18.space>
Date: Thu, 4 Mar 2021 19:47:41 +0100
Subject: [PATCH] kleine anpassung an logmeldungen und kommentaren

---
 lib/request.php | 17 +++++++++++------
 1 file changed, 11 insertions(+), 6 deletions(-)

diff --git a/lib/request.php b/lib/request.php
index 1d46e4b..ca707c6 100644
--- a/lib/request.php
+++ b/lib/request.php
@@ -175,7 +175,7 @@ class Request extends BaseClass {
         // Wenn es der erste Request ist -> return true
         $count = count($timestamps);
         if ($count === 0) {
-            $this->log->i("First request from {$_SERVER['REMOTE_ADDR']}");
+            $this->log->d("First request from {$_SERVER['REMOTE_ADDR']}");
             return true;
         }
         $first = $timestamps[array_key_first($timestamps)]['time'];
@@ -189,15 +189,15 @@ class Request extends BaseClass {
             return false;
         }
         
-        // Wenn der letzte Request weniger als 10 Sekunden her ist -> return
+        // Wenn der letzte Request weniger als 5 Sekunden her ist -> return
         // false
         if (($now - $last) < 5) {
             $this->log->n("Time between two requests under 5 seconds");
             return false;
         }
 
-        // Wenn die durchschnittliche Dauer zwischen allen Anfragen unter 30
-        // Sekunden liegt -> return false
+        // Wenn die durchschnittliche Dauer zwischen allen Anfragen bei mehr
+        // als 3 anfragen unter 30 Sekunden liegt -> return false
         if (($average) < 30 && $count > 3) {
             $this->log->n("Duration between all requests under 10 seconds");
             return false;
@@ -235,7 +235,12 @@ class Request extends BaseClass {
 
         /**
          * Verschickt die Mail mit dem Verifizierungslink.
-         * TODO: Reicht filter_input()? Was kann hier passieren?
+         * TODO: Reicht filter_input()? Was kann hier passieren? Beim Check
+         * der Mailadresse verwenden wir FILTER_VALIDATE_EMAIL. SANITZE
+         * könnte eine Mail an eine andere Adresse schicken, als dann in der
+         * Datenbankn gespeichert wäre. Besser hier auch VALIDATE benutzen?
+         * TODO: Wie sieht das mit dem Risiko aus, daß jemand über die
+         * Konfigurationsdatei Code einschleust? Was kann man dagegen tun?
          */
 
         $mailTo = filter_input(INPUT_POST, 'email', FILTER_SANITIZE_EMAIL);
@@ -251,7 +256,7 @@ class Request extends BaseClass {
         $mailbody = MAILTEXT1 . " {$mxdomain} " . MAILTEXT2 . "\r\n\r\n" . $link . $mailClosure;
         if (mail($mailTo, $mailSubject, $mailbody, $mailFrom))
         {
-            $this->log->i("Validationmail successfull send");
+            $this->log->n("Validationmail successfull send to {$mailTo}");
             return true;
         }
         $this->log->e("Sending validation mail failed");