Come sanitizzare l'input dell'utente in PHP prima della spedizione?

Question

Ho un semplice script mailer PHP che prende i valori da un formulario presentato tramite POST e li poste a me:

<?php 
$to = "me@example.com"; 

$name = $_POST['name']; 
$message = $_POST['message']; 
$email = $_POST['email']; 

$body = "Person $name submitted a message: $message"; 
$subject = "A message has been submitted"; 

$headers = 'From: ' . $email; 

mail($to, $subject, $body, $headers); 

header("Location: http://example.com/thanks"); 
?> 

Come posso sterilizzare l'input?

Answer 1

Sanitizza la variabile di post con filter_var().

Example here. Come:

echo filter_var($_POST['email'], FILTER_SANITIZE_EMAIL); 

Answer 2

Dal momento che non sta costruendo una query SQL o qualsiasi cosa qui, l'unica validazione rilevante che posso vedere di quegli input è una convalida e-mail per $ _POST [ "email"], e forse un'alfanumerica filtra negli altri campi se vuoi veramente limitare l'ambito di ciò che il messaggio può contenere.

Per filtrare l'indirizzo e-mail, è sufficiente utilizzare filter_var:

$email = filter_var($email, FILTER_SANITIZE_EMAIL); 

Come da suggerimento di Frank Farmer, è anche possibile filtrare a capo in oggetto dell'e-mail:

$subject = str_replace(array("\r","\n"),array(" "," "),$subject); 

Answer 3

Come altri hanno notato, è fantastico. Se non è disponibile, aggiungilo al tuo toolchest.

La variabile $headers è particolarmente pericolosa per la sicurezza. Può essere aggiunto e causare l'aggiunta di intestazioni spoofed. Questo post chiamato Email Injection discute abbastanza bene.

filter_var i s ottimo, ma un altro modo per assicurare che qualcosa sia un indirizzo di posta elettronica e non qualcosa di brutto è utilizzare una funzione isMail(). Eccone uno:

function isEmail($email) { 
    return preg_match('|^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]{2,})+$|i', $email); 
}; 

Quindi, per utilizzare questo, si potrebbe fare:

if (isset($_POST['email']) && isEmail($_POST['email'])) { 
    $email = $_POST['email'] ; 
} else { 
    // you could halt execution here, set $email to a default email address 
    // display an error, redirect, or some combination here, 
} 

In termini di convalida manuale, limitando la durata usando substr(), in esecuzione strip_tags() e comunque limitare ciò che può essere messo in

.

Answer 4

È necessario rimuovere qualsiasi newline dall'input fornito dagli utenti nelle intestazioni $, che viene passato a mail() ($ email nel tuo caso)! Vedi Email injection.

PHP dovrebbe prendersi cura di sanificazione $ a $ e soggetto, ma ci sono versioni di PHP con gli insetti (colpite sono PHP 4 < = 4.4.6 e PHP 5 < = 5.2.1, vedi MOPB-34-2007).

Answer 5

È possibile utilizzare il codice da artlung intestazione 's risposta s sopra per convalidare e-mail ..

io uso questo tipo di codice per evitare l'iniezione di testa ..

// define some mail() header's parts and commonly used spam code to filter using preg_match 
$match = "/(from\:|to\:|bcc\:|cc\:|content\-type\:|mime\-version\:|subject\:|x\-mailer\:|reply\-to\:|\%0a|\%0b)/i"; 

// check if any field's value containing the one or more of the code above 
if (preg_match($match, $name) || preg_match($match, $message) || preg_match($match, $email)) { 

// I use ajax, so I call the string below and send it to js file to check whether the email is failed to send or not 
echo "failed"; 

// If you are not using ajax, then you can redirect it with php header function i.e: header("Location: http://example.com/anypage/"); 

// stop the script before it reach or executing the mail function 
die(); 

} 

Il mail()' filtraggio sopra è troppo severo, dal momento che alcuni utenti potrebbero utilizzare le stringhe filtrate nel loro messaggio senza alcuna intenzione di dirottare il tuo modulo di posta elettronica, quindi reindirizzare a una pagina che spiega quale tipo di stringhe non è consentito nel modulo o spiegarlo sul tuo pagina del modulo.