PHPSecureE-mails-PHPE-mail注入-PHP防止E-mail注入

PHP Secure E-mails

在上一节中的 PHP e-mail 脚本中,存在着一个漏洞。

PHP E-mail 注入

第一,请看上一章中的 PHP 代码:

<html><head><meta charset="utf-8"><title>新手课程</title></head><body><?phpif ) { // 假如接收到邮箱参数则发送邮件// 发送邮件$email = $_REQUEST['email'] ;$subject = $_REQUEST['subject'] ;$message = $_REQUEST['message'] ;mail;echo "邮件发送成功";} else { // 假如没邮箱参数则显示表单echo "<form method='post' action='mailform.php'>Email: <input name='email' type='text'><br>Subject: <input name='subject' type='text'><br>Message:<br><textarea name='message' rows='15' cols='40'></textarea><br><input type='submit'></form>";}?></body></html>

以上代码存在的问题是,未经授权的用户可通过输入表单在邮件头部插入数据。

倘若用户在表单中的输入框内加入如下文本到电子邮件中,会出现那种情况呢?

someone@example.com%0ACc:person2@example.com%0ABcc:person3@example.com,person3@example.com,anotherperson4@example.com,person5@example.com%0ABTo:person6@example.com

与平常一样,mail 函数把上面的文本放入邮件头部,那样目前头部有了额外的 Cc:、Bcc: 和 To: 字段。当用户点击提交按钮时,这封 e-mail 会被发送到上面所有些地址!

PHP 预防 E-mail 注入

预防 e-mail 注入的最好办法是对输入进行验证。

下面的代码与上一章中的类似,不过这里大家已经增加了测试表单中 email 字段的输入验证程序:

<html><head><meta charset="utf-8"><title>新手课程</title></head><body><?phpfunction spamcheck{// filter_var 过滤 e-mail// 用 FILTER_SANITIZE_EM人工智能L$field=filter_var;//filter_var 过滤 e-mail// 用 FILTER_VALIDATE_EM人工智能Lif){return TRUE;}else{return FALSE;}}if ){// 假如接收到邮箱参数则发送邮件// 判断邮箱是不是合法$mailcheck = spamcheck;if {echo "非法输入";}else{// 发送邮件$email = $_REQUEST['email'] ;$subject = $_REQUEST['subject'] ;$message = $_REQUEST['message'] ;mail;echo "Thank you for using our mail form";}}else{ // 假如没邮箱参数则显示表单echo "<form method='post' action='mailform.php'>Email: <input name='email' type='text'><br>Subject: <input name='subject' type='text'><br>Message:<br><textarea name='message' rows='15' cols='40'></textarea><br><input type='submit'></form>";}?></body></html>

在上面的代码中,大家用了 PHP 过滤器来对输入进行验证:

  • FILTER_SANITIZE_EM人工智能L 过滤器从字符串中删除电子邮件的非法字符
  • FILTER_VALIDATE_EM人工智能L 过滤器验证电子邮件地址的值

你可以在大家的 PHP Filter 中阅读更多关于过滤器的常识。