Как очистить ввод пользователя в PHP перед отправкой?

Question

У меня есть простой PHP скрипт почтовой программы, которая принимает значения из формы, представленной с помощью POST и почт их мне:

<?php 
$to = "me@example.com"; 

$name = $_POST['name']; 
$message = $_POST['message']; 
$email = $_POST['email']; 

$body = "Person $name submitted a message: $message"; 
$subject = "A message has been submitted"; 

$headers = 'From: ' . $email; 

mail($to, $subject, $body, $headers); 

header("Location: http://example.com/thanks"); 
?> 

Как я могу дезинфицировать вход?

Answer 1

Санируйте почтовую переменную filter_var().

Example here. Как:

echo filter_var($_POST['email'], FILTER_SANITIZE_EMAIL); 

Answer 2

Поскольку вы не строим запрос SQL или что-нибудь здесь, единственным важным подтверждением того, что я могу видеть, для этих входов является проверка электронной почты для $ _POST [ «электронная почта»], и может быть алфавитно-цифровой фильтруйте другие поля, если вы действительно хотите ограничить объем содержимого сообщения.

Для фильтрации электронной почты, просто используйте filter_var:

$email = filter_var($email, FILTER_SANITIZE_EMAIL); 

В соответствии с предложением Фрэнка Фармера, вы также можете отфильтровать новые строки в теме письма:

$subject = str_replace(array("\r","\n"),array(" "," "),$subject); 

Answer 3

Как уже отмечалось, filter_var отлично. Если он недоступен, добавьте его в свой инструмент.

Переменная $headers особенно плохая по соображениям безопасности. Он может быть добавлен и добавлен поддельные заголовки. Этот пост под названием Email Injection обсуждает его довольно хорошо.

filter_var i s отличный, но еще один способ гарантировать, что что-то является адресом электронной почты, а не что-то плохое - использовать функцию isMail(). Вот один:

function isEmail($email) { 
    return preg_match('|^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]{2,})+$|i', $email); 
}; 

Так, чтобы использовать это, вы могли бы сделать:

if (isset($_POST['email']) && isEmail($_POST['email'])) { 
    $email = $_POST['email'] ; 
} else { 
    // you could halt execution here, set $email to a default email address 
    // display an error, redirect, or some combination here, 
} 

С точки зрения ручной проверки, ограничивая длину с помощью substr(), работает strip_tags() и иным способом ограничить то, что можно положить в

.

Answer 4

Вам нужно удалить любую новую строку из ввода, предоставленной пользователями в $ headers, которая будет передана mail() ($ email в вашем случае)! См. Email injection.

PHP должен заботиться о дезинфицирующих $ до и $ темы, но есть версии PHP с ошибками (Пораженные являются PHP 4 < = 4.4.6 и PHP 5 < = 5.2.1, см MOPB-34-2007).

Answer 5

Вы можете использовать код из artlung заголовка «ответ выше s, чтобы проверить электронную почту ..

Я использую этот вид кода, чтобы предотвратить инъекции заголовка ..

// define some mail() header's parts and commonly used spam code to filter using preg_match 
$match = "/(from\:|to\:|bcc\:|cc\:|content\-type\:|mime\-version\:|subject\:|x\-mailer\:|reply\-to\:|\%0a|\%0b)/i"; 

// check if any field's value containing the one or more of the code above 
if (preg_match($match, $name) || preg_match($match, $message) || preg_match($match, $email)) { 

// I use ajax, so I call the string below and send it to js file to check whether the email is failed to send or not 
echo "failed"; 

// If you are not using ajax, then you can redirect it with php header function i.e: header("Location: http://example.com/anypage/"); 

// stop the script before it reach or executing the mail function 
die(); 

} 

mail()» s фильтрации выше является слишком строгим, поскольку некоторые пользователи могут использовать отфильтрованные строки в своем сообщении без каких-либо намерений захватить вашу электронную почту, поэтому перенаправляйте ее на страницу, в которой объясняется, какие строки, которые не разрешены в форме, или объясняют это на вашем форма страница.