0

2012年からTutWowで既製の連絡フォームに出くわしました。これは、2007年からのDouglas LovellのPHP電子メール検証を使用して、電子メールフィールドが有効かどうかをチェックします(ドメインが有効かどうかをDNSサーバーに問い合わせます)。6歳になると、疑問が生じます—それはまだ関連性がありますか?

mail()一般に、スクリプトを安全でありながらフットプリントを最小限に抑えるために、スクリプトで通常何を探す必要がありますか?そして、TutWowのPHPタイアップと組み合わせたLovell氏のスクリプトは適格ですか?

組み合わせのPHPは次のとおりです。

<?php

// Clean up the input values
foreach($_POST as $key => $value) {
  if(ini_get('magic_quotes_gpc'))
    $_POST[$key] = stripslashes($_POST[$key]);

  $_POST[$key] = htmlspecialchars(strip_tags($_POST[$key]));
}

// Assign the input values to variables for easy reference
$name = $_POST["name"];
$email = $_POST["email"];
$message = $_POST["message"];

// Test input values for errors
$errors = array();
if(strlen($name) < 2) {
  if(!$name) {
    $errors[] = "You must enter a name.";
  } else {
    $errors[] = "Name must be at least 2 characters.";
  }
}
if(!$email) {
  $errors[] = "You must enter an email.";
} else if(!validEmail($email)) {
  $errors[] = "You must enter a valid email.";
}
if(strlen($message) < 10) {
  if(!$message) {
    $errors[] = "You must enter a message.";
  } else {
    $errors[] = "Message must be at least 10 characters.";
  }
}

if($errors) {
  // Output errors and die with a failure message
  $errortext = "";
  foreach($errors as $error) {
    $errortext .= "<li>".$error."</li>";
  }
  die("<span class='failure'>The following errors occured:<ul>". $errortext ."</ul></span>");
}

// Send the email
$to = "YOUR_EMAIL";
$subject = "Contact Form: $name";
$message = "$message";
$headers = "From: $email";

mail($to, $subject, $message, $headers);

// Die with a success message
die("<span class='success'>Success! Your message has been sent.</span>");

// A function that checks to see if
// an email is valid
function validEmail($email)
{
   $isValid = true;
   $atIndex = strrpos($email, "@");
   if (is_bool($atIndex) && !$atIndex)
   {
      $isValid = false;
   }
   else
   {
      $domain = substr($email, $atIndex+1);
      $local = substr($email, 0, $atIndex);
      $localLen = strlen($local);
      $domainLen = strlen($domain);
      if ($localLen < 1 || $localLen > 64)
      {
         // local part length exceeded
         $isValid = false;
      }
      else if ($domainLen < 1 || $domainLen > 255)
      {
         // domain part length exceeded
         $isValid = false;
      }
      else if ($local[0] == '.' || $local[$localLen-1] == '.')
      {
         // local part starts or ends with '.'
         $isValid = false;
      }
      else if (preg_match('/\\.\\./', $local))
      {
         // local part has two consecutive dots
         $isValid = false;
      }
      else if (!preg_match('/^[A-Za-z0-9\\-\\.]+$/', $domain))
      {
         // character not valid in domain part
         $isValid = false;
      }
      else if (preg_match('/\\.\\./', $domain))
      {
         // domain part has two consecutive dots
         $isValid = false;
      }
      else if(!preg_match('/^(\\\\.|[A-Za-z0-9!#%&`_=\\/$\'*+?^{}|~.-])+$/',
                 str_replace("\\\\","",$local)))
      {
         // character not valid in local part unless
         // local part is quoted
         if (!preg_match('/^"(\\\\"|[^"])+"$/',
             str_replace("\\\\","",$local)))
         {
            $isValid = false;
         }
      }
      if ($isValid && !(checkdnsrr($domain,"MX") || checkdnsrr($domain,"A")))
      {
         // domain not found in DNS
         $isValid = false;
      }
   }
   return $isValid;
}

?>
4

3 に答える 3

1

この検証は私が見た中で最高ではありません。すぐに見て気付いたのは、次のとおりです。

  • htmlspecialchars()エンコーディング引数なしで使用します
  • それはstrip_tags()私が見ることができない理由のために使用します
  • strlen代わりに使用しますmb_strlen
  • ヘッダーインジェクションに対して脆弱です
  • そして、メールの検証は私が見た中で最高ではありません
  • CSRFトークンはありません
  • Theerはキャプチャではありません
于 2013-01-13T18:00:32.290 に答える
1

おそらく最も安全な方法は、送信者に実際にメッセージを送信したことを確認するように求める電子メールを送信することです。また、お問い合わせフォームがスパムシステムに変わるのを防ぐために、返信が通常の電子メールで行われると仮定すると、各IPアドレスが送信できるお問い合わせフォームの数を妥当な数(おそらく24時間ごとに1つ)に制限してください。

于 2013-01-13T17:36:35.970 に答える
0

私のすべてのプロジェクトを通じて、このガイドがセキュリティ面で最も役立つことがわかりました。

フォーム処理、データベースとSQL、セッションなどを含む多くのセクションがあります。

于 2013-01-13T17:34:48.813 に答える