E-mails sécurisés PHP

Dans le script de messagerie PHP de la section précédente, il existe une vulnérabilité.

Injection d'e-mail PHP

Tout d'abord, veuillez regarder le code PHP dans le chapitre précédent :

<html>
<body>

<?php
if (isset($_REQUEST[&#39;email&#39;]))
//if "email" is filled out, send email
{
//send email
$email = $_REQUEST[&#39;email&#39;] ;
$subject = $_REQUEST[&#39;subject&#39;] ;
$message = $_REQUEST[&#39;message&#39;] ;
mail("someone@example.com", "Subject: $subject",
$message, "From: $email" );
echo "Thank you for using our mail form";
}
else
//if "email" is not filled out, display the form
{
echo "<form method=&#39;post&#39; action=&#39;mailform.php&#39;>
Email: <input name=&#39;email&#39; type=&#39;text&#39;><br>
Subject: <input name=&#39;subject&#39; type=&#39;text&#39;><br>
Message:<br>
<textarea name=&#39;message&#39; rows=&#39;15&#39; cols=&#39;40&#39;>
</textarea><br>
<input type=&#39;submit&#39;>
</form>";
}
?>

</body>
</html>

Le problème avec le code ci-dessus est que les données des utilisateurs non autorisés peut être inséré dans l’en-tête de l’e-mail via un formulaire de saisie.

Que se passera-t-il si l'utilisateur ajoute le texte suivant à l'e-mail dans la zone de saisie du formulaire ?

someone@example.com%0ACc:person2@example.com
%0ABcc:person3@example.com,person3@example.com,
anotherperson4@example.com,person5@example.com
%0ABTo:person6@example.com

Comme d'habitude, la fonction mail() place le texte ci-dessus dans l'en-tête de l'e-mail, donc maintenant l'en-tête comporte des champs Cc:, Bcc: et To: supplémentaires. Lorsque l'utilisateur clique sur le bouton Soumettre, cet e-mail sera envoyé à toutes les adresses ci-dessus !

PHP Empêcher l'injection d'e-mails

La meilleure façon d'empêcher l'injection d'e-mails est de valider l'entrée.

Le code suivant est similaire à celui du chapitre précédent, mais ici nous avons ajouté un validateur d'entrée pour détecter le champ email dans le formulaire :

<html>
<body>
<?php
function spamcheck($field)
{
//filter_var() sanitizes the e-mail
//address using FILTER_SANITIZE_EMAIL
$field=filter_var($field, FILTER_SANITIZE_EMAIL);

//filter_var() validates the e-mail
//address using FILTER_VALIDATE_EMAIL
if(filter_var($field, FILTER_VALIDATE_EMAIL))
{
return TRUE;
}
else
{
return FALSE;
}
}

if (isset($_REQUEST[&#39;email&#39;]))
{//if "email" is filled out, proceed

//check if the email address is invalid
$mailcheck = spamcheck($_REQUEST[&#39;email&#39;]);
if ($mailcheck==FALSE)
{
echo "Invalid input";
}
else
{//send email
$email = $_REQUEST[&#39;email&#39;] ;
$subject = $_REQUEST[&#39;subject&#39;] ;
$message = $_REQUEST[&#39;message&#39;] ;
mail("someone@example.com", "Subject: $subject",
$message, "From: $email" );
echo "Thank you for using our mail form";
}
}
else
{//if "email" is not filled out, display the form
echo "<form method=&#39;post&#39; action=&#39;mailform.php&#39;>
Email: <input name=&#39;email&#39; type=&#39;text&#39;><br>
Subject: <input name=&#39;subject&#39; type=&#39;text&#39;><br>
Message:<br>
<textarea name=&#39;message&#39; rows=&#39;15&#39; cols=&#39;40&#39;>
</textarea><br>
<input type=&#39;submit&#39;>
</form>";
}
?>

</body>
</html>

Dans le code ci-dessus, nous utilisons des filtres PHP pour valider l'entrée :

Le filtre FILTER_SANITIZE_EMAIL supprime les caractères illégaux de l'e-mail de la chaîne

Le filtre FILTER_VALIDATE_EMAIL valide la valeur de l'adresse e-mail

Ce qui précède est le contenu des e-mails sécurisés PHP Pour plus de contenu connexe, veuillez faire attention au site Web PHP chinois (www.php.cn) !