0

你好!我只是想知道我刚刚制作的这个联系人表单脚本有多安全?很久以前,当我制作联系表时,我的老师一直在唠叨我。

if($_SERVER['REQUEST_METHOD'] === 'POST'){

    $myemail  =    "email@adress.com";
    $name      =    $_POST['name'];
    $email    =    $_POST['email'];
    $phone    =    $_POST['phone'];
    $subject  =    $_POST['subject'];
    $comments =    $_POST['comments'];

   if($name == 0 || !preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/", $email) || !preg_match("/^\d{2}(-\d{3}){2}(\d{2})?$/", $phone) || $subject == 0 || $comments == 0){

       $error_message = 'Something was written wrong..';

   } else {

       $message = "Hello!
       Your contact form has been submitted by:
       Name: $name
       E-mail: $email
       Phone: $phone
       Comments: $comments
       End of message";
       mail($myemail, $subject, $message);
       $error_message = 'Your message was sent!';

    }
}

有关如何使其安全的任何建议?

PS保护联系表保护 php 联系表都适用于 WordPress,这不是我想要的。

4

2 回答 2

6

您可以使用函数来验证条目,例如:

function check_input($data)
 {
    $data = trim($data);
    $data = stripslashes($data);
    $data = htmlspecialchars($data);
    return $data;
 }

    

        $name      =    check_input($_POST['name']);
        $email    =    check_input($_POST['email']);
        $phone    =    check_input($_POST['phone']);
        $subject  =    check_input($_POST['subject']);
        $comments =    check_input($_POST['comments']);


     if ($name && $email && $phone && $subject && $comments) {
         Send contact form...

}

当然,您可以添加验证码以使其更安全。

于 2012-08-22T20:41:25.827 回答
0

除了缺乏数据验证之外,您的代码中没有什么不安全的地方。您只需收集表单数据并将其发送出去。所以唯一的“不安全感”是除非使用任何类型的验证码,否则您很容易通过该表单发送垃圾邮件。我目前不确定,但可能会欺骗 mail() 以添加更多带有精心制作的 $subject 的收件人,因此可以保存以确保它是 oneliner 并剥离任何 CRLF

于 2012-08-22T19:23:33.310 回答