0

お問い合わせフォームを作成しましたが、これはシンプルで最も重要なことは安全であるべきです。そのため、ユーザーはサーバー側で実行するコードを入力できません。

<?php

$userips = ($_SERVER['X_FORWARDED_FOR']) ? $_SERVER['X_FORWARDED_FOR'] : $_SERVER['REMOTE_ADDR'];

$ips = $userips;

// Clean up the input values
foreach($_POST as $key => $value) {
  if(ini_get('magic_quotes_gpc'))
    $_POST[$key] = stripslashes($_POST[$key]);

  $_POST[$key] = htmlspecialchars(strip_tags($_POST[$key]));
}


// Assign the input values to variables for easy reference
$name = $_POST["name"];
$email = $_POST["email"];
$reason = $_POST["reason"];
$message = $_POST["message"];

mail($to, $subject, $message, $headers);

// Send the email
$to = "test@testsite.com";
$subject = "From: $name . " Reason: " . $reason";
$message = "$message" . "\n\n\n==-   Sent from the website with IP Address: " . $ips . "   -==";;
$headers = "From: $email";



$send_contact=mail($to,$subject,$message,$header);


header("Location: http://www.testsite.com");


// Check, if message sent to your email
// display message "We've recived your information"
// if($send_contact){
// echo "We've recived your contact information";
// }
// else {
// echo "ERROR";
// }
?>

上記のコードは仕事をしますか?または、セキュリティが適切に設定されていることを確認するためのコードがありませんか?

EDIT 電子メールの有効性をチェックする次の Jquery スクリプトがあります。

'email' : function() {

    $('body').append('<div id="emailInfo" class="info"></div>');

    var emailInfo = $('#emailInfo');
    var ele = $('#email');
    var pos = ele.offset();

    emailInfo.css({
        top: pos.top-3,
        left: pos.left+ele.width()+15
    });

    var patt = /^.+@.+[.].{2,}$/i;

    if(!patt.test(ele.val())) {
        jVal.errors = true;
            emailInfo.html('<img src=theImages/xMark.png title="Please enter a valid email address" alt="Please enter a valid email address" />').show();
            ele.removeClass('normal').addClass('wrong');                    
    } else {
            emailInfo.html('<img src=theImages/checkMark.gif />').show();
            ele.removeClass('wrong').addClass('normal');
    }
},

上記のコードで、php コードで ELSE ステートメントを空白のままにできますか?

4

1 に答える 1

3

注意が必要なのは、電子メール インジェクションです。以下を使用して、それらに対する防御を行うことができます。

filter_var($email, FILTER_SANITIZE_EMAIL)

スクリプトには、解析エラーを含む多くの間違いがありました。

<?php

$userips = ($_SERVER['X_FORWARDED_FOR']) ? $_SERVER['X_FORWARDED_FOR'] : $_SERVER['REMOTE_ADDR'];

$ips = $userips;

// Clean up the input values
foreach($_POST as $key => $value) {
  if(ini_get('magic_quotes_gpc'))
    $_POST[$key] = stripslashes($_POST[$key]);

  $_POST[$key] = htmlspecialchars(strip_tags($_POST[$key]));
}


// Assign the input values to variables for easy reference
$name = $_POST["name"];
$email = $_POST["email"];
$reason = $_POST["reason"];
$message = $_POST["message"];


if(filter_var($email, FILTER_SANITIZE_EMAIL)){
    // Send the email
    $to = "test@testsite.com";
    $subject = "From: $name Reason: $reason";
    $message = "$message" . "\n\n\n==-   Sent from the website with IP Address: " . $ips . "   -==";;
    $headers = "From: $email";

    $send_contact=mail($to,$subject,$message,$headers);
    header("Location: http://www.testsite.com");
}
else{
    echo 'Bold!';
}
?>
于 2012-08-31T14:52:52.053 に答える