PHP 教程
PHP 教程 PHP 简介 PHP 安装 PHP 语法 PHP 变量 PHP 5 echo/print 语句 PHP 5 数据类型 PHP 5 常量 PHP 字符串变量 PHP 运算符 PHP If…Else 语句 PHP Switch 语句 PHP 数组 PHP 数组排序 PHP 超级全局变量 PHP While 循环 PHP For 循环 PHP 函数 PHP魔术变量 PHP 命名空间(namespace)
PHP 表单
PHP 表单 PHP表单验证 PHP表单 – 必需字段 PHP表单 – 验证邮件和URL PHP完整表单实例 PHP $_GET 变量 PHP $_POST 变量
PHP 高级教程
PHP 多维数组 PHP Date() 函数 PHP include 和 require PHP 文件 PHP 文件上传 PHP Cookies PHP Sessions PHP 邮件 PHP 安全 E-mail PHP 错误处理 PHP 异常处理 PHP 过滤器 PHP JSON
PHP 数据库
PHP MySQL 简介 PHP 连接 MySQL 数据库 PHP 创建数据库和表 PHP MySQL Insert Into PHP MySQL Select PHP MySQL Where 子句 PHP MySQL Order By 关键词 PHP MySQL Update PHP MySQL Delete From PHP 数据库 ODBC
PHP XML
PHP XML Expat 解析器 PHP XML DOM PHP XML SimpleXML
PHP 与 AJAX
AJAX 简介 PHP – AJAX 与 PHP PHP 实例 AJAX 与 MySQL PHP 实例 AJAX 与 XML PHP 实例 AJAX 实时搜索 PHP 实例 AJAX RSS 阅读器 PHP 实例 AJAX 投票
PHP 参考手册
PHP 5 Array 函数 PHP 5 Calendar 函数 PHP 5 Calendar 函数 PHP 5 Date/Time 函数 PHP 5 Directory 函数 PHP Error 和 Logging 函数 PHP 5 Filesystem 函数 PHP Filter 函数 PHP FTP 函数 PHP HTTP 函数 PHP Libxml 函数 PHP Mail 函数 PHP 5 Math 函数 PHP Misc. 函数 PHP 5 MySQLi 函数 PHP PDO PHP 5 SimpleXML 函数 PHP 5 String 函数 PHP XML 函数 PHP Zip File 函数 PHP 5 Timezones PHP cURL 函数
同类教程 PHP设计模式 PHP面向对象编程
  1. 首页
  2. 教程
  3. PHP教程
  4. PHP 安全 E-mail

PHP 安全 E-mail

发布于 2016-11-18 14:24:43 | 170 次阅读 | 评论: 0 | 来源: 网络整理

在上一节中的 PHP e-mail 脚本中,存在着一个漏洞。

PHP E-mail 注入

首先,请看上一章中的 PHP 代码:

 <html>
 <body>

 <?php
 if (isset($_REQUEST['email']))
 //if "email" is filled out, send email
 {
 //send email
 $email = $_REQUEST['email'] ;
 $subject = $_REQUEST['subject'] ;
 $message = $_REQUEST['message'] ;
 mail("someone@example.com", "Subject: $subject",
 $message, "From: $email" );
 echo "Thank you for using our mail form";
 }
 else
 //if "email" is not filled out, display the form
 {
 echo "<form method='post' action='mailform.php'>
 Email: <input name='email' type='text'><br>
 Subject: <input name='subject' type='text'><br>
 Message:<br>
 <textarea name='message' rows='15' cols='40'>
 </textarea><br>
 <input type='submit'>
 </form>";
 }
 ?>

 </body>
 </html>

以上代码存在的问题是,未经授权的用户可通过输入表单在邮件头部插入数据。

假如用户在表单中的输入框内加入如下文本到电子邮件中,会出现什么情况呢?

 someone@example.com%0ACc:person2@example.com
 %0ABcc:person3@example.com,person3@example.com,
 anotherperson4@example.com,person5@example.com
 %0ABTo:person6@example.com

与往常一样,mail() 函数把上面的文本放入邮件头部,那么现在头部有了额外的 Cc:、Bcc: 和 To: 字段。当用户点击提交按钮时,这封 e-mail 会被发送到上面所有的地址!

PHP 防止 E-mail 注入

防止 e-mail 注入的最好方法是对输入进行验证。

下面的代码与上一章中的类似,不过这里我们已经增加了检测表单中 email 字段的输入验证程序:

 <html>
 <body>
 <?php
 function spamcheck($field)
 {
 //filter_var() sanitizes the e-mail
 //address using FILTER_SANITIZE_EMAIL
 $field=filter_var($field, FILTER_SANITIZE_EMAIL);

 //filter_var() validates the e-mail
 //address using FILTER_VALIDATE_EMAIL
 if(filter_var($field, FILTER_VALIDATE_EMAIL))
 {
 return TRUE;
 }
 else
 {
 return FALSE;
 }
 }

 if (isset($_REQUEST['email']))
 {//if "email" is filled out, proceed

 //check if the email address is invalid
 $mailcheck = spamcheck($_REQUEST['email']);
 if ($mailcheck==FALSE)
 {
 echo "Invalid input";
 }
 else
 {//send email
 $email = $_REQUEST['email'] ;
 $subject = $_REQUEST['subject'] ;
 $message = $_REQUEST['message'] ;
 mail("someone@example.com", "Subject: $subject",
 $message, "From: $email" );
 echo "Thank you for using our mail form";
 }
 }
 else
 {//if "email" is not filled out, display the form
 echo "<form method='post' action='mailform.php'>
 Email: <input name='email' type='text'><br>
 Subject: <input name='subject' type='text'><br>
 Message:<br>
 <textarea name='message' rows='15' cols='40'>
 </textarea><br>
 <input type='submit'>
 </form>";
 }
 ?>

 </body>
 </html>

在上面的代码中,我们使用了 PHP 过滤器来对输入进行验证:

  • FILTER_SANITIZE_EMAIL 过滤器从字符串中删除电子邮件的非法字符
  • FILTER_VALIDATE_EMAIL 过滤器验证电子邮件地址的值

您可以在我们的 PHP Filter 中阅读更多关于过滤器的知识。

最新网友评论  共有(0)条评论 发布评论 返回顶部
后端技术
前端技术
数据库
热门框架
常用IDE
其他
Copyright © 2007-2017 PHPERZ.COM All Rights Reserved   冀ICP备14009818号  版权声明  广告服务