PHP安全な電子メール
前節のPHP e-mailスクリプトでは、脆弱性がありました.
PHP E-mail注入
まず、前節のPHPコードを見てください.
上記のコードの問題は、許可されていないユーザーが入力フォームを通じてメールヘッダにデータを挿入できることです.
ユーザーがフォームの入力ボックスにこれらのテキストを追加すると、どのような状況になりますか?
いつものようにmail()関数は上のテキストをメールヘッダに入れ、ヘッダには追加のCc:,Bcc:およびTo:フィールドがあります.ユーザーがコミットボタンをクリックすると、このe-mailは上のすべてのアドレスに送信されます!
PHP E-mail注入防止
e-mail注入を防止する最善の方法は入力を検証することである.
次のコードは前節と似ていますが、フォームのemailフィールドを検出する入力検証プログラムを追加しました.
上記のコードでは、PHPフィルタを使用して入力を検証しました.
FILTER_SANITIZE_EMAIL文字列から電子メールの不正文字を削除するFILTER_VALIDATE_EMAIL認証電子メールアドレスこのセクションでは、PHPフィルタの詳細を参照してください.
PHP E-mail注入
まず、前節のPHPコードを見てください.
<html>
<body>
<?php
if (isset($_REQUEST['email']))
//if "email" is filled out, send email
{
//send email
$email = $_REQUEST['email'] ;
$subject = $_REQUEST['subject'] ;
$message = $_REQUEST['message'] ;
mail("[email protected]", "Subject: $subject",
$message, "From: $email" );
echo "Thank you for using our mail form";
}
else
//if "email" is not filled out, display the form
{
echo "<form method='post' action='mailform.php'>
Email: <input name='email' type='text' /><br />
Subject: <input name='subject' type='text' /><br />
Message:<br />
<textarea name='message' rows='15' cols='40'>
</textarea><br />
<input type='submit' />
</form>";
}
?>
</body>
</html>上記のコードの問題は、許可されていないユーザーが入力フォームを通じてメールヘッダにデータを挿入できることです.
ユーザーがフォームの入力ボックスにこれらのテキストを追加すると、どのような状況になりますか?
[email protected]%0ACc:[email protected]
%0ABcc:[email protected],[email protected],
[email protected],[email protected]
%0ABTo:[email protected]いつものようにmail()関数は上のテキストをメールヘッダに入れ、ヘッダには追加のCc:,Bcc:およびTo:フィールドがあります.ユーザーがコミットボタンをクリックすると、このe-mailは上のすべてのアドレスに送信されます!
PHP E-mail注入防止
e-mail注入を防止する最善の方法は入力を検証することである.
次のコードは前節と似ていますが、フォームのemailフィールドを検出する入力検証プログラムを追加しました.
<html>
<body>
<?php
function spamcheck($field)
{
//filter_var() sanitizes the e-mail
//address using FILTER_SANITIZE_EMAIL
$field=filter_var($field, FILTER_SANITIZE_EMAIL);
//filter_var() validates the e-mail
//address using FILTER_VALIDATE_EMAIL
if(filter_var($field, FILTER_VALIDATE_EMAIL))
{
return TRUE;
}
else
{
return FALSE;
}
}
if (isset($_REQUEST['email']))
{//if "email" is filled out, proceed
//check if the email address is invalid
$mailcheck = spamcheck($_REQUEST['email']);
if ($mailcheck==FALSE)
{
echo "Invalid input";
}
else
{//send email
$email = $_REQUEST['email'] ;
$subject = $_REQUEST['subject'] ;
$message = $_REQUEST['message'] ;
mail("[email protected]", "Subject: $subject",
$message, "From: $email" );
echo "Thank you for using our mail form";
}
}
else
{//if "email" is not filled out, display the form
echo "<form method='post' action='mailform.php'>
Email: <input name='email' type='text' /><br />
Subject: <input name='subject' type='text' /><br />
Message:<br />
<textarea name='message' rows='15' cols='40'>
</textarea><br />
<input type='submit' />
</form>";
}
?>
</body>
</html>上記のコードでは、PHPフィルタを使用して入力を検証しました.
FILTER_SANITIZE_EMAIL文字列から電子メールの不正文字を削除するFILTER_VALIDATE_EMAIL認証電子メールアドレスこのセクションでは、PHPフィルタの詳細を参照してください.