Ответ 1
Санируйте переменную post с помощью filter_var().
Пример здесь. Как:
echo filter_var($_POST['email'], FILTER_SANITIZE_EMAIL);
Как очистить ввод пользователя в PHP перед отправкой?
У меня есть простая почтовая программа PHP script, которая принимает значения из формы, отправленной через POST, и отправляет их мне:
<?php
$to = "[email protected]";
$name = $_POST['name'];
$message = $_POST['message'];
$email = $_POST['email'];
$body = "Person $name submitted a message: $message";
$subject = "A message has been submitted";
$headers = 'From: ' . $email;
mail($to, $subject, $body, $headers);
header("Location: http://example.com/thanks");
?>
Как я могу дезинфицировать вход?
Ответы
Ответ 2
Поскольку вы не строите SQL-запрос или что-то еще, единственная релевантная проверка, которую я могу видеть для этих вводов, - это проверка электронной почты для $_POST [ "email" ] и, возможно, алфавитно-цифровой фильтр для других полей, если вы действительно хотите ограничить область содержимого сообщения.
Чтобы отфильтровать адрес электронной почты, просто используйте filter_var:
$email = filter_var($email, FILTER_SANITIZE_EMAIL);
В соответствии с предложением Фрэнка Фармера вы также можете отфильтровать новые строки в теме письма:
$subject = str_replace(array("\r","\n"),array(" "," "),$subject);
Ответ 3
Как отмечали другие, filter_var отлично. Если он недоступен, добавьте его в свой инструмент.
Переменная $headers особенно плохая по безопасности. Он может быть добавлен и добавлен поддельные заголовки. Этот пост, называемый Email Injection, обсуждает его довольно хорошо.
filter_var i отличный, но еще один способ убедиться, что что-то является адресом электронной почты, а не что-то плохое - использовать функцию isMail(). Здесь один:
function isEmail($email) {
return preg_match('|^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]{2,})+$|i', $email);
};
Чтобы использовать это, вы можете сделать:
if (isset($_POST['email']) && isEmail($_POST['email'])) {
$email = $_POST['email'] ;
} else {
// you could halt execution here, set $email to a default email address
// display an error, redirect, or some combination here,
}
В терминах ручной проверки, ограничивая длину, используя substr(), запустите strip_tags() и в противном случае ограничивать то, что можно положить.
Ответ 4
Вам нужно удалить любые новые строки из ввода, предоставленного пользователями в $headers, который будет передан mail() ($ email в вашем случае)! См. Ввод электронной почты.
PHP должен позаботиться о дезинфекции $to и $subject, но есть версии PHP с ошибками (Affected - это PHP 4 <= 4.4.6 и PHP 5 <= 5.2.1, см. MOPB-34-2007).
Ответ 5
Вы можете использовать код из artlung ответа выше, чтобы проверить электронную почту..
Я использую этот код для предотвращения вставки заголовка.
// define some mail() header parts and commonly used spam code to filter using preg_match
$match = "/(from\:|to\:|bcc\:|cc\:|content\-type\:|mime\-version\:|subject\:|x\-mailer\:|reply\-to\:|\%0a|\%0b)/i";
// check if any field value containing the one or more of the code above
if (preg_match($match, $name) || preg_match( $match, $message) || preg_match( $match, $email)) {
// I use ajax, so I call the string below and send it to js file to check whether the email is failed to send or not
echo "failed";
// If you are not using ajax, then you can redirect it with php header function i.e: header("Location: http://example.com/anypage/");
// stop the script before it reach or executing the mail function
die();
}
Фильтрация заголовка mail() выше слишком строгая, так как некоторые пользователи могут использовать отфильтрованные строки в своем сообщении без каких-либо намерений захватить вашу электронную почту, поэтому перенаправляйте ее на страницу, которая объясняет, какие строки, которые не разрешается в форме или не объясняет это на вашей странице формы.