Neuer Formulargenerator

[Volker]

Moin Tommy,

macht es Sinn sowas neu aufzusetzen ?

Hier mein grober Entwurf dazu: https://www.niederastroth.de/formgenerator/

Da fehlt noch Captcha und das ganze Sicherheits Gedöns
Aber es soll halt mit PHP Mailer gesendet werden über SMTP

ISt halt die frage ob sowas noch gebraucht wird oder eher nicht

[Tommy Herrmann]

Ja, klar – es macht Sinn, ein gutes Script zu entwickeln, vor allem, wenn es zukunftssicher ist.

Ich kann jedoch nicht beurteilen, ob du mit deinen PHP-Kenntnissen schon so weit bist. Selbst ein Formular von Werner, wie du weißt, wurde bei mir gnadenlos gehackt, sodass ich fast eine Million E-Mails im Monat bekam und IONOS mir daraufhin alle Mail-Adressen gesperrt hat, was extrem unangenehm war.

Ich nutze nach wie vor den Formular-Generator von "Arclab", der meiner Meinung nach kaum zu übertreffen ist – der kann schlichtweg alles. Leider hat der Hersteller diese App eingestellt.

Neben dem seit vielen Jahren bewährten Formular-Generator vom Werner mit über 20.000 Downloads verwende ich in meinen Tutorials auch weitere Lösungen, etwa den von "PHPJabbers". Sie erfüllen im Wesentlichen alle Anforderungen, und es gibt Hunderte solcher Formular-Generatoren im Web.

Dennoch ist so ein gut programmierter Formular-Generator natürlich immer willkommen – und er gehört zweifellos zu den wichtigsten Anwendungen für Websites schlechthin, vorausgesetzt er ist sicher umgesetzt (eine echte Herausforderung). Du würdest damit also auch eine große Verantwortung übernehmen.


P.S.:

Ich habe heute leider keinerlei Zeit mehr und kann Deinen Generator heute noch nicht einmal ausprobieren. Was aber gar nicht geht ist, das Passwort "online" einzutragen. Das ist ein uneinschätzbares Risiko.

[Volker]

Das Ding ist ja nur ein grober Entwurf, ich werde da natürlich soviel Sicherheit wie möglich rein bauen.
Ich werde das mal als nicht so wichtig ablegen und von Zeit zu Zeit weiter ausbauen und hier dann vorstellen

Ich brauch ja auch Tester für sowas. Ich sehe ja auch nicht alles

Raus kommen soll ein sicheres Mail Formular, das man dann mit allen Daten und Scripten runterladen kann und einbauen. So dachte ich Vorher kann man eben alles aussuchen und zurecht rücken ... Das ist der Plan

[Tommy Herrmann]

Moin,

ich habe das mal runter geladen:

... und als Formular-Aktion wird ja die Datei "send.php" angegeben:

Code: Alles auswählen

<form id="contactForm" action="send.php" method="post" enctype="multipart/form-data" novalidate>

Die ist aber fast komplett leer, außer dem "Dankeschön"

Code: Alles auswählen

<div class="alert alert-success">Vielen Dank für Ihre Nachricht!</div>

Wo werden denn z.B. meine Mail-Daten eingetragen und der Formularinhalt denn überhaupt zur Mail verarbeitet? Auf jeden Fall sollten die persönlichen Maildaten erst nach dem Download eingetragen werden, denn das sind ja sensible Serverdaten. Keiner der späteren User kann ja erkennen, ob diese Daten sonst vielleicht missbraucht werden.

Die Scripts vom PHP-Mailer fehlen noch komplett.

Ein Formular benötigt auch die Zustimmung zu der Datenschutzerklärung bevor es gesendet werden darf.


Übrigens, ich hatte mal zusammen mit ChatGPT die Captchas am Link unten entwickelt. Wenn Du magst, kannst Du das gerne mit verwenden, denn eine einfache Rechenaufgabe wird von Spammern sofort geknackt.

https://www.mobirise-tutorials.com/Kont ... orial.html

Falls das jemand ausprobiert, bei meinem Testformular auf dieser Seite muss das Captcha am Formular zunächst neu geladen werden, damit das korrekte Captcha verwendet wird. Denn es befinden sich auf derselben Seite noch zwei weitere Captchas zur Demonstration, die dieselben Skripte verwenden. Das ist normalerweise ja nicht der Fall.

[stobi_de]

Zum Thema Arclab: auf deren Website ist nun offiziell angegeben, dass die Software eingestellt wurde.
Werde das dann nicht mehr benutzen, PHP 9 steht vor der Tür - und wer weiß, welche Überraschungen da wieder drin sind.

[Tommy Herrmann]

Ja - so steht es auch auf deren Website:

https://www.arclab.de/legacy.html

... man solle keine Scripts verwenden, die nicht regelmäßig gewartet werden.

Es kommt eben auch darauf an, wie so etwas programmiert wurde.

Eine neue PHP Version ist ja nun noch lange nicht gleichbedeutend damit, dass ein Script nicht mehr funktioniert. Ich verwende verschiedene PHP Scripts bereits über viele PHP-Versionen und das funktioniert oft reibungslos und ist auch noch sicher.

Für PHP 9 ist noch nicht einmal ein Release-Datum bekannt (das kann noch Jahre dauern) und PHP 8 wird sicherlich noch 10 Jahre laufen. Damit funktionieren dann sehr wahrscheinlich auch der Arclab-Formulargenerator ebenso wie die Anwendungen von Werner-Zenk.de noch Jahre weiter, ganz abgesehen davon, dass das wahrscheinlich ebenso alles auch noch mit PHP 9 weiter funktionieren wird.

IONOS empfiehlt beispielsweise noch PHP 8.3, obwohl PHP 8.4 bereits verfügbar ist. Voraussichtlich folgen zunächst PHP 8.5, 8.6 und vielleicht noch weitere Versionen.


https://www.php.net/supported-versions

[Volker]

Hallo Tommy,

klar ist da noch alles leer. Ich bin ja erst 2 Tage dran an dem Teil und das wird noch eine ganze Weile dauern bis es
so läuft wie ich mir das vorstelle.

Der PHP Mailer soll z.B. direkt von Github geladen werden und in die Zip mit rein.
Ich denke ich werde verschiedene Captchas anbieten ( wenn ich es schaffe )
Das mit den Formularfeldern soll auch Drop & Drag werden wieder, bzw. eine Reihenfolge kann man selber bestimmen.

Ist halt alles sehr aufwendig und kostet viel Zeit. Aber nur so lernt man und entwickelt sich weiter

Ich werde ab und zu hier posten wenns Neuerungen gibt die du testen sollst

[Volker]

Ich bastel weiter ....

Wer Angst hat seine richtigen SMTP Daten in das Formular zu schreiben, kann ja Dummy Daten nehmen und später im Script die richtigen Daten von Hand eintragen. Ist halt etwas mehr Aufwand

Arbeite gerade an der Übernahme der Formular Daten in die send.php ...

[Tommy Herrmann]

Was ist denn der Unterschied vom PHPMailer zum "Composer" PHPMailer?

Ist nicht der Composer so etwas wie eine Installationsroutine am Rechner für den PHPMailer, der zunächst installiert werden muss?. Das sollte dann auch alles erklärt werden, denn damit kennen sich ausschließlich Experten aus.

Werner hatte den PHPMailer als Beispiel im Download dabei, sodass dort von vornherein keine Fehler entstehen können. Bitte bedenke, dass alles, was man selbst begriffen hat, in der Regel völlig einfach erscheint, während alles, womit man sich bisher nicht beschäftigt hat, sehr schwierig sein kann – oder so schwer zu begreifen, dass man es lieber lässt.

Deine .htaccess verstehe ich auch nicht. Dort sollten auch alle Anweisungen kommentiert sein. Bedenke auch, dass eine .htaccess nicht überall gleichermaßen funktioniert. Warum legst Du nicht sensible Dateien und die Uploads in ein Verzeichnis, dass generell mit .htaccess mit z.B. "Deny from all" nach außen hin gesperrt ist.

Insgesamt wäre es sinnvoll, den Generator so einfach wie möglich zu gestalten, damit ihn die Benutzer wenigstens annähernd verstehen können.

---

Denke auch noch daran, dass eine Website ein Impressum benötigt, wenn diese "geschäftsmäßig" betrieben wird.

Geschäftsmäßigkeit:

Eine Website gilt als geschäftsmäßig, wenn sie nicht ausschließlich privaten oder familiären Zwecken dient. Das bedeutet, dass auch private Webseiten, die Inhalte öffentlich zugänglich machen und nicht nur einem engen Kreis von Personen vorbehalten sind, unter die Impressumspflicht fallen können.

Download von Skripten:

Das Anbieten von Skripten zum Download, selbst wenn kostenlos, kann als geschäftsmäßig angesehen werden, da es eine Dienstleistung darstellt und im weiteren Sinne dem Austausch von Informationen und potenziell der Verbreitung von Wissen dient.

[Volker]

Composer fliegt wieder raus

Der PHP Mailer liegt jetzt dem Download bei.
Ich arbeite zur Zeit noch am Script, von daher kann es immer mal wieder zu Fehlern kommen. Jetzt im Moment funktioniert der Download und auch das send.php macht was es soll

Muss noch am Frontend einiges ändern, damit es hübscher und leichter zu bedienen geht.

[Tommy Herrmann]

Moin,

gib mir Bescheid, wenn es so weit ist, dass ich mal gucken soll. Ich kann das testen aber nicht schlussendlich beurteilen. Heute habe ich keine Zeit mehr.

Die .htaccess kam mir heute morgen spanisch vor, nicht dass sich da einer die so installiert, dass er sich andere .htaccess Dateien davor zerschießt.

Schütze am besten nur bestimmte Verzeichnisse (wenn notwendig) oder weise die User an, Installationsdateien oder Ähnliches zu löschen. PHP-Dateien kann ohnehin niemand einsehen.

[Volker]

Teste mal, ich hab einiges schon geändert, sollte nun ein schönes Formular kommen und eine nette Mail

Um den Rest kümmer ich mich noch... wie gesagt Arbeit, Arbeit ....




Die .htaccess ist ja im Verzeichnis Kontakt oder wie es auch immer heißen mag, also dort wo send.php und der Rest sich befindet. Da kann eigentlich nicht auf dem restlichen Webspace durcheinander kommen. Sollte die falsch sein, wäre es auch nicht so schlimm. Ich hab dazu geschriebn wofür was ist.

Im Moment geht nur das Rechen Captcha, Google folgt, aber auch hier werden dann die Schlüssel über das Formular eingegeben. Da kann man ja auch Dummys eingeben

Bild Captcha geht im Moment noch nicht ... muss den Fehler noch suchen


Die Mails kommen formatiert an :

Code: Alles auswählen

[code]<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteRule ^success.php$ - [L]
  RewriteRule ^send.php$ - [L]
  RewriteCond %{REQUEST_FILENAME} !-f
  RewriteCond %{REQUEST_FILENAME} !-d
  RewriteRule . /index.php [L]
</IfModule>

<IfModule mod_rewrite.c> … überprüft, ob das Apache-Modul mod_rewrite aktiv ist. Nur dann werden die Regeln ausgeführt.

RewriteEngine On … aktiviert die Umschreibefunktion.

RewriteRule ^success.php$ - [L]
Wenn jemand genau success.php aufruft, wird nichts umgeschrieben (das - bedeutet: keine Änderung). Das [L] sagt „Last rule“ → danach keine weiteren Regeln prüfen.

RewriteRule ^send.php$ - [L]
Gleiches Prinzip wie oben für send.php.

RewriteCond %{REQUEST_FILENAME} !-f
Bedingung: Die angeforderte Datei existiert nicht als echte Datei.

RewriteCond %{REQUEST_FILENAME} !-d
Bedingung: Die angeforderte Datei existiert nicht als echtes Verzeichnis.

RewriteRule . /index.php [L]
Wenn die Bedingungen erfüllt sind (also Datei/Ordner gibt es nicht), wird alles auf index.php umgeleitet.
→ Typischer Mechanismus für einfaches Routing (z. B. bei PHP-Anwendungen, Blogs oder CMS).

Code: Alles auswählen

<IfModule mod_php.c>
  php_value include_path .
</IfModule>

Prüft, ob PHP als Apache-Modul läuft.

php_value include_path . setzt den Include-Pfad von PHP auf das aktuelle Verzeichnis (.).
→ Damit kann PHP Dateien aus dem aktuellen Ordner laden, auch ohne vollständigen Pfad.
→ Hat speziell für PHPMailer (oder ähnliche Bibliotheken) Sinn, wenn man Klassen ohne lange Pfadangaben einbinden will.

Code: Alles auswählen

<IfModule mod_rewrite.c>
  RewriteRule ^uploads/ - [F,L]
</IfModule>

Wenn jemand versucht, direkt Dateien aus dem Ordner /uploads/ aufzurufen, wird das mit [F] blockiert (Forbidden).

[L] sorgt dafür, dass danach keine weiteren Regeln greifen.

Sinn: Man will zwar Uploads speichern, aber nicht öffentlich ausführbar machen (z. B. keine .php-Datei aus uploads/ starten).

Neue Sicherheits Features eingebaut: CSRF-Token und Honeypot-Feld. Weitere folgen nach Tests...

Bild Captcha hinzugefügt. Nun kann man wählen kein Captcha, Rechenaufgabe, Bild oder Google reCatpcha

[Volker]

Bitte noch warten mit testen !!!

Jetzt hab ich mir was zerschossen

Ja leck mich doch am A.....
ich habe mein kaputtes script der KI gegeben um mal nach dem Fehler zu suchen und was kommt raus ??

DAS HIER: https://www.niederastroth.de/formgenerator/test.php

Ich werd nicht mehr...mit KI Generator

[Tommy Herrmann]

Hmm, nimmt die E-Mail gar nicht an und ist extrem langsam.

[Volker]

Hmm, nimmt die E-Mail gar nicht an und ist extrem langsam.

Das ist doch auch nur eine Demo die die KI da gebastelt hat. Die heißt ja auch test.php

Das eigentliche Script läuft nach wie vor hier: https://www.niederastroth.de/formgenerator/

[Volker]

So, nach der Inspiration durch die KI habe ich mich entschlossen dieses HTML Gerüst der KI zu nehmen.
Vorteil: KI kann Felder erzeugen nach Vorgabe der Verwendung ( find ich Lustig)
Templates können direkt genutzt werden und von mir dann stetig erweitert werden .. finde ich Sinnvoll.
Layout sieht ansprechender aus als meine Version.

So, nun zum Test.
Ich habe es mit dem normalen PHP mail() getestet, das läuft. SMTP macht mir noch Fehlermeldungen... da weiß ich noch nicht wo der Fehler ist. Kannst Du ja mal testen Tommy, ob du das hin bekommst.

Die Captchas muss ich noch einbauen, im Moment nur einfaches Rechen Captcha.

Konfiguration laden und speichern ist noch nicht eingebaut, kommt aber diese Woche noch. Da kann der User also seine Formulare auf seinem Rechner speichern und bei Bedarf wieder in den Generator laden.

Ein Problem gibt es noch bei Select Feldern, wenn man da die Optionen ändern will, muss man immer nach jedem Buchstaben wieder mit der Maus reinklicken. Da muss ich noch ran. Also Select mal weg lassen

Also Tommy teste mal bitte die jetzige Version, besonders den SMTP Versand

https://www.niederastroth.de/formgenerator

Natürlich darf nicht nur Tommy testen Wer will kann gerne testen und Feedback hier im Forum geben.

[Tommy Herrmann]

Moin,

das ist mir aufgefallen:

> Bei der Eingabe sollten Platzhalter verwendet werden und keine Texte

> Das Wackeln der Feldblöcke nervt schrecklich

> Feld "Platzhalter" kann nicht eingetragen werden

> E-Mail Eingabe "hakt" und ist kaum möglich so langsam

> SMTP-Felder sollten auch leer angenommen werden


Ich habe die generierte Seite hochgeladen und sie lässt sich erst gar nicht aufrufen - mit oder ohne .htaccess - egal:

https://www.mobirise-tutorials.com/Test ... /index.php



Vielleicht hilft dieser Teil das SMTP Problem zu lösen:

Code: Alles auswählen

    // Tommy Start
    $mail->isSMTP();
    $mail->Host = "smtp.ionos.de";
    $mail->SMTPAuth = true;
    $mail->Username = getenv("SMTP_USER") ?: "ich@meineDomain.de"; // Sichere SMTP-Daten
    $mail->Password = getenv("SMTP_PASS") ?: "na_ich"; // SMTP Passwort!
    $mail->SMTPSecure = PHPMailer::ENCRYPTION_SMTPS;
    $mail->Port = 465;
    // Tommy End  

Vielleicht hilft ja auch Werners Script, das verwendet ja auch den PHPMailer:

https://www.mobirise-tutorials.com/Kontakt-Formular.php

[Volker]

Das mit dem Haken liegt wohl an der Animation, die die KI da rein gehauen hat. Werde ich weg nehmen.
Man muss eben nach jedem Buchstaben mit der Maus erneut klicken damit es weiter geht. Mühsam ich weiß.


Fehler behoben !! Geht jetzt !

SMTP leer geht nicht, weil unlogisch. Du kannst ja Dummy Daten da eingeben und in der send.php später die richtigen daten eintragen.

Bei mir geht das formular mit php mail() : https://www.niederastroth.de/formgenerator/test/

Teste es mal nur mit php mail()

Die send.php ist so sicher wie nur irgend möglich, alles an spamschutz was ich finden konnte

[Tommy Herrmann]

Das hat ja mit SMTP erst einmal nichts zu tun, denn ich kann die Startseite "index.php" ja noch nicht einmal aufrufen

Was genau soll ich jetzt tun? Was soll ich erneut wo runter laden?

Zur Zeit funktioniert der Generator nämlich nicht, man kann nichts downloaden.

[Volker]

Warte Tommy, muss das mit den Feldern korrigieren, melde mich wenn es wieder 100 % läuft.

Die Felder können nun beschriftet werden ohne haken.
Hab noch einen Fehler beim senden mit SMTP : Fehler: Fehler beim Senden der E-Mail: Invalid address: (From):

Mach ich am Wochenende

Aber mit PHP mail() kann man Formulare machen die auch laufen.

Ich brauch ne Pause - im Moment bitte nicht nutzen !!