php - 这种形式安全吗?

标签 php jquery html forms security

我有这个表单,用户可以通过该表单向我发送电子邮件。我不知道它是否安全,或者是否仅在涉及 sql 时才会出现安全问题...

html:

<form id="form4" action="send_mic.php"  name="form4" method="post" >

           <textarea name="message4" cols="4" rows="4"  id="message4" ></textarea><br />

           <input type="text"  id="name4" name="name4" value="" /><br />

           <input type="text"  id="email4" name="email4" value=""  /><br />

          <input type="submit" value="" id="submit" />

</form>

j查询:

<script type="text/javascript">
$(document).ready(function () {
    $('#form4').ajaxForm({
        beforeSubmit: validate
    });

    function validate(formData, jqForm, options) {
        var name = $('input[name=name4]').fieldValue();
        var email = $('input[name=email4]').fieldValue();
        var message = $('textarea[name=message4]').fieldValue();

        if (!name[0]) {
            alert('Please enter a value for name');
            return false;
        }
        if (!email[0]) {
            alert('Please enter a value for email');
            return false;
        }
        if (!message[0]) {
            alert('Please enter a value for message');
            return false;
        }

        else {

        $("#content").fadeOut(1000, function () {
            $(this).html("<img src='images/postauto3.png'/>").fadeIn(2000);
        });

        var message = $('textarea[name=message4]').val('');
        var name = $('input[name=name4]').val('');
        var email = $('input[name=email4]').val('');

            } 
    }

});



    </script>

PHP:

<?php
        if($_POST){
                $email = $_POST['email4'];
                $name = $_POST ['name4'];
                $message = $_POST ['message4'];
                // response hash
                $ajaxresponse = array('type'=>'', 'message4'=>'');

                try {
                        // do some sort of data validations, very simple example below
                        $all_fields = array('name4', 'email4', 'message4');

                        foreach($all_fields as $field){
                                if(empty($_POST[$field])){
                                        throw new Exception('Required field "'.ucfirst($field).'" missing input.');
                                }
                        }

                        // ok, if field validations are ok
                        // now Send Email, ect.

                        // let's assume everything is ok, setup successful response
                        $subject = "New Contact";
                        //get todays date
                        $todayis = date("l, F j, Y, g:i a") ;

                        $message = " $todayis \n
                        Attention: \n\n
                        Please see the message below: \n\n
                        Email Address: $email \n\n
                        Message: $message \n\n

                        ";

                        $from = "From: $email\r\n";


                        //put your email address here
                        mail("contact@....ro", $subject, $message, $from);

                        //prep json response
                        $ajaxresponse['type'] = 'success';
                        $ajaxresponse['message'] = 'Thank You! Will be in touch soon';  
                } catch(Exception $e){
                        $ajaxresponse['type'] = 'error';
                        $ajaxresponse['message'] = $e->getMessage();
                }
                // now we are ready to turn this hash into JSON
                print json_encode($ajaxresponse);
                exit;
        }
?>

那么,使用表单发送邮件会不会存在安全问题呢?这个可以吗? 谢谢!

最佳答案

一般而言,经验法则应始终是:永远不要相信用户提供的数据。不,您的代码不是防弹的。由于您既不验证也不清理用户输入,并且同时使用 mail(),因此您很容易受到攻击。用户可以轻松地为您提供 email4 字段的精心制作的值(value)。由于您直接使用表单数据,因此 email4 可用于向您的外发邮件中注入(inject)额外的邮件 header 。如果这些 header 是 BCC:CC: 甚至 TO: 那么您将只是充当垃圾邮件中继。例如,如果我发布这个

some@address.com
CC: spamvictim1@foo.com, spamvictim2@foo.com, spamvictim3@foo.com,
X-Spam-Owned: Whoa

作为您的 email4 那么您的 header 将如下所示:

To: some@address.com
CC: spamvictim1@foo.com, spamvictim2@foo.com, spamvictim3@foo.com, 
X-Spam-Owned: Whoa

要发布多行数据,您只需使用 CRLF 粘贴文本即可。

为了避免这样的安全漏洞,你应该考虑放弃 mail() 并使用更聪明的东西来处理这样的事情(不是 mail()不好,但是您需要知道自己在做什么,因为它比高级功能低)。我建议使用 PHPMailer 或类似的包。您应该始终验证用户提供的数据(特别是确保单行字段,如主题实际上是单行 - 剥离 CRLF 就足够了)。在您接受自动提交表单时添加验证码。

关于php - 这种形式安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12315112/

上一篇:php - 如何在不使用 strip_tags 的情况下从变量中删除 <div> 标签?

下一篇:php - html php 元字符集 UTF-8 不工作?

相关文章:

php - 通过 PHP 的 CSS 下拉菜单,逻辑打败了我

javascript - 是否可以在 Javascript 中处理缓存?

javascript - 将独立的 View 文件放入codeigniter中另一个html中的div中

php - 如何使用php自动发布到google+

php - Wordpress:带过滤器的存档页面不起作用 (ACF)

php - 在 PHP 中回显 HTML 的最佳方式

jQuery :not selector not working in ie

javascript - 为什么我的变量在 Javascript/Jquery 中不能全局使用?

javascript - 如何关闭浏览器窗口?

javascript - 麻烦造型扩展 polymer 元素(纸 slider )

©2024 IT工具网  联系我们