当前位置：文江博客话题详情

全面防范邮件注入

发布于 2024-10-25 22:50:37 字数 1156 浏览 3 评论 0 原文

假设我们要发送简单的反馈并让这些字段动态化：

发件人姓名
发件人电子邮件
主题
消息正文

这段 PHP 代码足以保护我们免受各种邮件注入吗？

  //sanitizing email address
if ($email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)){
  //encoding subj according to RFC and thus protecting it from all kinds of injections
  $subject = "=?UTF-8?B?".base64_encode($_POST['subject'])."?=";
  //encoding name for same reasons, and using sanitized email
  $from    = "From: =?UTF-8?B?".base64_encode($_POST['name'])."?= <$email>\r\n";
  //protecting body as it mentioned in http://php.net/mail
  $message = str_replace("\n.", "\n .", $_POST['text']);
  mail('[email protected]',$subject,$message,$from);
}

目前我正在使用诸如 "[email protected], [email protected]," 但似乎所有可用的邮件客户端都正确处理它

原文

Suppose we're sending trivial feedback and going to make these fields dynamic:

sender name
sender e-mail
subject
message body

would be this PHP code enough to protect us from all kinds of mail-injections?

  //sanitizing email address
if ($email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)){
  //encoding subj according to RFC and thus protecting it from all kinds of injections
  $subject = "=?UTF-8?B?".base64_encode($_POST['subject'])."?=";
  //encoding name for same reasons, and using sanitized email
  $from    = "From: =?UTF-8?B?".base64_encode($_POST['name'])."?= <$email>\r\n";
  //protecting body as it mentioned in http://php.net/mail
  $message = str_replace("\n.", "\n .", $_POST['text']);
  mail('[email protected]',$subject,$message,$from);
}

at the moment I am playing with names like "[email protected], [email protected]," but it seems that all available mail clients handling it correctly

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

夏见 2024-11-01 22:50:37

这段 PHP 代码足以保护我们免受各种邮件注入吗？

它看起来相当全面，只要您的电子邮件客户端支持 RFC 2047 编码方法您在标题中使用。（某些网络邮件客户端无法识别该编码。）

除了一开始不使用 mail() 之外，我唯一的建议是考虑 is_email 而不是内置过滤器。内置功能无法解决许多边缘情况。

回复收藏 0 原文

·深蓝 2024-11-01 22:50:37

这取决于过滤器是否符合 rfc 规定，如果本地部分被 " 或任何字符包围，则本地部分不能包含任何内容，例如 "foo\r\nTo: [email protected]\r\nTo: dummy"@foo.tld 会给你这样的标题：

Subject: foo
To: [email protected]
To: dummy"@foo.tld

相当糟糕......

It depends, if the filter complies with rfc that specify that the local part cant contain anything if it is surrounded by " or whatever character some address like "foo\r\nTo: [email protected]\r\nTo: dummy"@foo.tld will give you headers like :

Subject: foo
To: [email protected]
To: dummy"@foo.tld

quite bad ...

回复收藏 0 原文

~没有更多了~

关于作者

双手揣兜

暂无简介

0 文章

0 评论

22 人气

关注发私信

胡图图

文章 0 评论 0

关注

zt006

文章 0 评论 0

关注

z祗昰~

文章 0 评论 0

关注

冰葑

文章 0 评论 0

关注

野の

文章 0 评论 0

关注

天空

文章 0 评论 0

友情链接

文江博客

全面防范邮件注入

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（2）

关于作者

相关话题

热门标签

推荐作者

胡图图

zt006

z祗昰~

冰葑

野の

天空

友情链接

全面防范邮件注入

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（2）

关于作者

相关话题

热门标签

推荐作者

胡图图

zt006

z祗昰~

冰葑

野の

天空

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。