Jak wyczyścić wejście użytkownika w PHP przed mailingiem?

Ponieważ nie budujesz zapytania SQL lub czegokolwiek tutaj, jedyną istotną walidacją, którą widzę dla tych danych wejściowych, jest Walidacja wiadomości e-mail dla $_POST ["email"], a może filtr alfanumeryczny na innych polach, jeśli naprawdę chcesz ograniczyć zakres tego, co wiadomość może zawierać.

Aby filtrować adres e-mail, po prostu użyj filter_var :

$email = filter_var($email, FILTER_SANITIZE_EMAIL);

Zgodnie z sugestią Franka farmera, możesz również odfiltrować nowe linie w temacie wiadomości e-mail:

$subject = str_replace(array("\r","\n"),array(" "," "),$subject);

Jak zauważyli inni, filter_var świetnie. Jeśli nie jest dostępna, dodaj ją do zestawu narzędzi.

Zmienna $headers jest szczególnie zła pod względem bezpieczeństwa. Może być dołączany i powodować dodawanie fałszywych nagłówków. Ten post o nazwie email Injection omawia go całkiem dobrze.

filter_var is super, ale innym sposobem zapewnienia, że coś jest adresem e-mail, a nie czymś złym jest użycie funkcji isMail(). Oto jeden:

function isEmail($email) {
    return preg_match('|^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]{2,})+$|i', $email);
};

Więc aby użyć tego, ty można:

if (isset($_POST['email']) && isEmail($_POST['email'])) {
    $email = $_POST['email'] ;
} else {
    // you could halt execution here, set $email to a default email address
    // display an error, redirect, or some combination here,
}

Jeśli chodzi o ręczną walidację, ograniczając długość za pomocą substr(), bieganie strip_tags() i w przeciwnym razie ograniczając to, co można umieścić.

Musisz usunąć wszystkie nowe linie z danych wejściowych podanych przez użytkowników w $headers, które zostaną przekazane do mail () ($email w Twoim przypadku)! Zobacz email injection .

PHP powinno zająć się oczyszczaniem $to i $subject, ale są wersje PHP z błędami (dotyczy to PHP 4 Mobb-34-2007).

Możesz użyć kodu z odpowiedzi artlung powyżej, aby zweryfikować wiadomość e-mail..

Używam tego rodzaju kodu, aby zapobiec wtryskiwaniu nagłówka..

// define some mail() header's parts and commonly used spam code to filter using preg_match
$match = "/(from\:|to\:|bcc\:|cc\:|content\-type\:|mime\-version\:|subject\:|x\-mailer\:|reply\-to\:|\%0a|\%0b)/i";

// check if any field's value containing the one or more of the code above
if (preg_match($match, $name) || preg_match( $match, $message) || preg_match( $match, $email)) {

// I use ajax, so I call the string below and send it to js file to check whether the email is failed to send or not
echo "failed";

// If you are not using ajax, then you can redirect it with php header function i.e: header("Location: http://example.com/anypage/");

// stop the script before it reach or executing the mail function
die();

}

Powyższe filtrowanie nagłówków mail() jest zbyt rygorystyczne, ponieważ niektórzy użytkownicy mogą używać filtrowanych ciągów w swojej wiadomości bez zamiaru przejmowania formularza e-mail, więc przekieruj go na stronę wyjaśniającą, jakiego rodzaju ciągi nie są dozwolone w formularzu lub wyjaśnij to na stronie formularza.