PHP安全的電子郵件-3.11PHP高級教程

在上一節(jié)中的 PHP e-mail 腳本中，存在著一個漏洞。

創(chuàng)新互聯(lián)-云計算及IDC服務提供商，涵蓋公有云、IDC機房租用、成都溫江機房、等保安全、私有云建設等企業(yè)級互聯(lián)網(wǎng)基礎服務，咨詢熱線：18980820575

PHP E-mail 注入

首先，請看上一節(jié)中的 PHP 代碼：

<html><body><?phpif (isset($_REQUEST['email']))//if "email" is filled out, send email { //send email $email = $_REQUEST['email'] ; $subject = $_REQUEST['subject'] ; $message = $_REQUEST['message'] ; mail("someone@example.com", "Subject: $subject", $message, "From: $email" ); echo "Thank you for using our mail form"; }else//if "email" is not filled out, display the form { echo "<form method='post' action='mailform.php'> Email: <input name='email' type='text' /><br /> Subject: <input name='subject' type='text' /><br /> Message:<br /> <textarea name='message' rows='15' cols='40'> </textarea><br /> <input type='submit' /> </form>"; }?></body></html>

以上代碼存在的問題是，未經(jīng)授權的用戶可通過輸入表單在郵件頭部插入數(shù)據(jù)。

假如用戶在表單中的輸入框內加入這些文本，會出現(xiàn)什么情況呢？

someone@example.com%0ACc:person2@example.com%0ABcc:person3@example.com,person3@example.com,anotherperson4@example.com,person5@example.com%0ABTo:person6@example.com

與往常一樣，mail() 函數(shù)把上面的文本放入郵件頭部，那么現(xiàn)在頭部有了額外的 Cc:, Bcc: 以及 To: 字段。當用戶點擊提交按鈕時，這封 e-mail 會被發(fā)送到上面所有的地址！

PHP 防止 E-mail 注入

防止 e-mail 注入的最好方法是對輸入進行驗證。

下面的代碼與上一節(jié)類似，不過我們已經(jīng)增加了檢測表單中 email 字段的輸入驗證程序：

<html><body><?phpfunction spamcheck($field) { //filter_var() sanitizes the e-mail //address using FILTER_SANITIZE_EMAIL $field=filter_var($field, FILTER_SANITIZE_EMAIL); //filter_var() validates the e-mail //address using FILTER_VALIDATE_EMAIL if(filter_var($field, FILTER_VALIDATE_EMAIL)) { return TRUE; } else { return FALSE; } }if (isset($_REQUEST['email'])) {//if "email" is filled out, proceed //check if the email address is invalid $mailcheck = spamcheck($_REQUEST['email']); if ($mailcheck==FALSE) { echo "Invalid input"; } else {//send email $email = $_REQUEST['email'] ; $subject = $_REQUEST['subject'] ; $message = $_REQUEST['message'] ; mail("someone@example.com", "Subject: $subject", $message, "From: $email" ); echo "Thank you for using our mail form"; } }else {//if "email" is not filled out, display the form echo "<form method='post' action='mailform.php'> Email: <input name='email' type='text' /><br /> Subject: <input name='subject' type='text' /><br /> Message:<br /> <textarea name='message' rows='15' cols='40'> </textarea><br /> <input type='submit' /> </form>"; }?></body></html>

在上面的代碼中，我們使用了 PHP 過濾器來對輸入進行驗證：

FILTER_SANITIZE_EMAIL 從字符串中刪除電子郵件的非法字符FILTER_VALIDATE_EMAIL 驗證電子郵件地址

您可以在我們的 PHP 過濾器這一節(jié)中閱讀更多有關過濾器的內容。

網(wǎng)站題目：PHP安全的電子郵件-3.11PHP高級教程
網(wǎng)頁地址：http://www.rwnh.cn/article6/dghhoig.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供定制開發(fā)、靜態(tài)網(wǎng)站、網(wǎng)站設計、外貿建站、ChatGPT、營銷型網(wǎng)站建設

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內容

中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

PHP安全的電子郵件-3.11PHP高級教程