Korrekte Verhinderung der Posteinspritzung in PHP

Question

Konnten Sie mir beraten, wie ich gehe, email injection in PHP mail() zu verhindern, ohne ursprüngliche Nachrichtendaten zu verlieren? Z.B. Wenn ich dem Benutzer erlauben soll, \r\n, To, CC usw. zu verwenden, möchte ich sie nicht vollständig von der Nachricht entfernen - ich will sie immer noch geliefert, aber ohne zusätzliche Header hinzufügen oder irgendwie Mail-Injektion passieren zu lassen.

Die meisten Ratschläge im Internet schlagen vor, diese Daten vollständig zu entfernen - aber ich will das nicht tun.

Ich sende Klartext (nicht HTML) Nachrichten über PHP mail() Funktion.

Was würden Sie empfehlen?

Answer 1

Um gültige E-Mails für die Verwendung in dem Empfänger E-Mail-Feld zu filtern, einen Blick auf filter_var() nehmen:

$email = filter_var($_POST['recipient_email'], FILTER_VALIDATE_EMAIL); 

if ($email === FALSE) { 
    echo 'Invalid email'; 
    exit(1); 
} 

Dies wird Ihre Benutzer liefern nur singulär, gültige E-Mails stellen Sie sicher, die Sie dann auf die mail() passieren kann Funktion. Soweit ich weiß, gibt es keine Möglichkeit, Kopfzeilen über den Nachrichtentext mit der Funktion PHP mail() zu injizieren, so dass Daten keine spezielle Verarbeitung benötigen.

Update:

Nach the documentation for mail(), wenn es direkt an einen SMTP-Server zu sprechen, müssen Sie Vollbremsungen im Nachrichtentext verhindern:

$body = str_replace("\n.", "\n..", $body); 

Update # 2:

Anscheinend ist es auch möglich, über das Thema zu injizieren, als auch, aber da gibt es keine FILTER_VALIDATE_EMAIL_SUBJECT, müssen Sie tun das Filtern von selbst:

$subject = str_ireplace(array("\r", "\n", '%0A', '%0D'), '', $_POST['subject']); 

Answer 2

Sie Angenommen, möchten Sie die E-Mail-Adresse des Besuchers im optionalen Header-Feld setzen, wie so:

$headers = "From: $visitorEmailAddress"; 

Wenn jedoch

$ visitorEmailAddress

enthält

"address@email.com \ n \ NBCC: spam@v1agra.com"

Sie sich einen Spam-Wirt gemacht haben, die Tür für Mail-Injektion zu öffnen. Dies ist ein sehr einfaches Beispiel, aber kreative Spammer und böswillige Hacker können potenziell schädliche Skripte in Ihren E-Mails schleichen, da E-Mails als reine Textdatei gesendet werden. Sogar Anhänge werden in Klartext konvertiert und sie können Anhänge einfach durch Hinzufügen einer Mimetype-Inhaltszeile senden.

Wenn Ihre Formularvalidierung für die Felder FROM und/oder TO OK ist, müssen Sie die Formularüberprüfung für den Text der E-Mail überprüfen.Ich würde die Zeichen "- =" und "= -" entfernen und verhindern, dass Benutzer HTML-Code eingeben, indem Sie strip_tags() verwenden.

Answer 3

für eine Überprüfung der verschiedenen Optionen Versuchen Sie folgendes:

http://www.codeproject.com/Articles/428076/PHP-Mail-Injection-Protection-and-E-Mail-Validatio

Es mehrere Optionen umfasst und versucht, die Vorteile und Risiken von jedem zu erklären.

Answer 4

eine bestimmte Mime E-Mail-Bibliothek verwenden, wie Mail_Mime:

<?php 
include 'Mail.php'; 
include 'Mail/mime.php' ; 

$mime = new Mail_mime(); 

$mime->setTXTBody("Message goes here"); 
$hdrs = $mime->headers(array(
    'From' => 'you@yourdomain.com', 
    'Subject' => 'Test mime message' 
)); 
$body = $mime->get(); 

$mail = &Mail::factory('mail'); 
$mail->send('postmaster@localhost', $hdrs, $body); 

?>