雷林鹏分享:PHP Secure E-mails
|
在上一节中的 PHP e-mail 脚本中,存在着一个漏洞。 PHP E-mail 注入 首先,请看上一章中的 PHP 代码:
if (isset($_REQUEST[‘email‘])) { // 如果接收到邮箱参数则发送邮件 // 发送邮件 $email = $_REQUEST[‘email‘] ; $subject = $_REQUEST[‘subject‘] ; $message = $_REQUEST[‘message‘] ; mail("[email?protected]",$subject, $message,"From:" . $email); echo "邮件发送成功"; } else { // 如果没有邮箱参数则显示表单 echo " "; ? } ?>
以上代码存在的问题是,未经授权的用户可通过输入表单在邮件头部插入数据。 假如用户在表单中的输入框内加入如下文本到电子邮件中,会出现什么情况呢? [email?protected]%0ACc:[email?protected] %0ABcc:[email?protected],[email?protected], [email?protected],[email?protected] %0ABTo:[email?protected] 与往常一样,mail() 函数把上面的文本放入邮件头部,那么现在头部有了额外的 Cc:、Bcc: 和 To: 字段。当用户点击提交按钮时,这封 e-mail 会被发送到上面所有的地址! PHP 防止 E-mail 注入 防止 e-mail 注入的最好方法是对输入进行验证。 下面的代码与上一章中的类似,不过这里我们已经增加了检测表单中 email 字段的输入验证程序:
function spamcheck($field) { // filter_var() 过滤 e-mail // 使用 FILTER_SANITIZE_EMAIL $field=filter_var($field,FILTER_SANITIZE_EMAIL); //filter_var() 过滤 e-mail // 使用 FILTER_VALIDATE_EMAIL if(filter_var($field,FILTER_VALIDATE_EMAIL)) { return TRUE; } else { return FALSE; } } if (isset($_REQUEST[‘email‘])) { // 如果接收到邮箱参数则发送邮件 // 判断邮箱是否合法 $mailcheck = spamcheck($_REQUEST[‘email‘]); if ($mailcheck==FALSE) { echo "非法输入"; } else { // 发送邮件 $email = $_REQUEST[‘email‘] ; $subject = $_REQUEST[‘subject‘] ; $message = $_REQUEST[‘message‘] ; mail("[email?protected]","Subject: $subject","From: $email" ); echo "Thank you for using our mail form"; } } else { // 如果没有邮箱参数则显示表单 echo " "; ? } ?>
在上面的代码中,我们使用了 PHP 过滤器来对输入进行验证: FILTER_SANITIZE_EMAIL 过滤器从字符串中删除电子邮件的非法字符 FILTER_VALIDATE_EMAIL 过滤器验证电子邮件地址的值 您可以在我们的 PHP Filter 中阅读更多关于过滤器的知识。 点击查看所有 PHP 教程 文章: https://www.codercto.com/courses/l/5.html(编辑:雷林鹏 来源:网络 侵删) (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |