PHP 安全的電子郵件 · W3School PHP 教程

# PHP 安全的電子郵件 **在上一節中的 PHP e-mail 腳本中，存在著一個漏洞。** ## PHP E-mail 注入首先，請看上一節中的 PHP 代碼： ``` <html> <body> <?php if (isset($_REQUEST['email'])) //if "email" is filled out, send email { //send email $email = $_REQUEST['email'] ; $subject = $_REQUEST['subject'] ; $message = $_REQUEST['message'] ; mail("someone@example.com", "Subject: $subject", $message, "From: $email" ); echo "Thank you for using our mail form"; } else //if "email" is not filled out, display the form { echo "<form method='post' action='mailform.php'> Email: <input name='email' type='text' /><br /> Subject: <input name='subject' type='text' /><br /> Message:<br /> <textarea name='message' rows='15' cols='40'> </textarea><br /> <input type='submit' /> </form>"; } ?> </body> </html> ``` 以上代碼存在的問題是，未經授權的用戶可通過輸入表單在郵件頭部插入數據。假如用戶在表單中的輸入框內加入這些文本，會出現什么情況呢？ ``` someone@example.com%0ACc:person2@example.com %0ABcc:person3@example.com,person3@example.com, anotherperson4@example.com,person5@example.com %0ABTo:person6@example.com ``` 與往常一樣，mail() 函數把上面的文本放入郵件頭部，那么現在頭部有了額外的 Cc:, Bcc: 以及 To: 字段。當用戶點擊提交按鈕時，這封 e-mail 會被發送到上面所有的地址！ ## PHP 防止 E-mail 注入防止 e-mail 注入的最好方法是對輸入進行驗證。下面的代碼與上一節類似，不過我們已經增加了檢測表單中 email 字段的輸入驗證程序： ``` <html> <body> <?php function spamcheck($field) { //filter_var() sanitizes the e-mail //address using FILTER_SANITIZE_EMAIL $field=filter_var($field, FILTER_SANITIZE_EMAIL); //filter_var() validates the e-mail //address using FILTER_VALIDATE_EMAIL if(filter_var($field, FILTER_VALIDATE_EMAIL)) { return TRUE; } else { return FALSE; } } if (isset($_REQUEST['email'])) {//if "email" is filled out, proceed //check if the email address is invalid $mailcheck = spamcheck($_REQUEST['email']); if ($mailcheck==FALSE) { echo "Invalid input"; } else {//send email $email = $_REQUEST['email'] ; $subject = $_REQUEST['subject'] ; $message = $_REQUEST['message'] ; mail("someone@example.com", "Subject: $subject", $message, "From: $email" ); echo "Thank you for using our mail form"; } } else {//if "email" is not filled out, display the form echo "<form method='post' action='mailform.php'> Email: <input name='email' type='text' /><br /> Subject: <input name='subject' type='text' /><br /> Message:<br /> <textarea name='message' rows='15' cols='40'> </textarea><br /> <input type='submit' /> </form>"; } ?> </body> </html> ``` 在上面的代碼中，我們使用了 PHP 過濾器來對輸入進行驗證： * FILTER_SANITIZE_EMAIL 從字符串中刪除電子郵件的非法字符 * FILTER_VALIDATE_EMAIL 驗證電子郵件地址您可以在我們的 [PHP 過濾器](/php/php_filter.asp "PHP 過濾器")這一節中閱讀更多有關過濾器的內容。