2

我有这个表格,用户通过它向我发送电子邮件。我不知道它是否安全,或者是否只有在涉及 sql 时才会出现安全问题......

html:

<form id="form4" action="send_mic.php"  name="form4" method="post" >

           <textarea name="message4" cols="4" rows="4"  id="message4" ></textarea><br />

           <input type="text"  id="name4" name="name4" value="" /><br />

           <input type="text"  id="email4" name="email4" value=""  /><br />

          <input type="submit" value="" id="submit" />

</form>

jQuery:

<script type="text/javascript">
$(document).ready(function () {
    $('#form4').ajaxForm({
        beforeSubmit: validate
    });

    function validate(formData, jqForm, options) {
        var name = $('input[name=name4]').fieldValue();
        var email = $('input[name=email4]').fieldValue();
        var message = $('textarea[name=message4]').fieldValue();

        if (!name[0]) {
            alert('Please enter a value for name');
            return false;
        }
        if (!email[0]) {
            alert('Please enter a value for email');
            return false;
        }
        if (!message[0]) {
            alert('Please enter a value for message');
            return false;
        }

        else {

        $("#content").fadeOut(1000, function () {
            $(this).html("<img src='images/postauto3.png'/>").fadeIn(2000);
        });

        var message = $('textarea[name=message4]').val('');
        var name = $('input[name=name4]').val('');
        var email = $('input[name=email4]').val('');

            } 
    }

});



    </script> 

php:

<?php
        if($_POST){
                $email = $_POST['email4'];
                $name = $_POST ['name4'];
                $message = $_POST ['message4'];
                // response hash
                $ajaxresponse = array('type'=>'', 'message4'=>'');

                try {
                        // do some sort of data validations, very simple example below
                        $all_fields = array('name4', 'email4', 'message4');

                        foreach($all_fields as $field){
                                if(empty($_POST[$field])){
                                        throw new Exception('Required field "'.ucfirst($field).'" missing input.');
                                }
                        }

                        // ok, if field validations are ok
                        // now Send Email, ect.

                        // let's assume everything is ok, setup successful response
                        $subject = "New Contact";
                        //get todays date
                        $todayis = date("l, F j, Y, g:i a") ;

                        $message = " $todayis \n
                        Attention: \n\n
                        Please see the message below: \n\n
                        Email Address: $email \n\n
                        Message: $message \n\n

                        ";

                        $from = "From: $email\r\n";


                        //put your email address here
                        mail("contact@....ro", $subject, $message, $from);

                        //prep json response
                        $ajaxresponse['type'] = 'success';
                        $ajaxresponse['message'] = 'Thank You! Will be in touch soon';  
                } catch(Exception $e){
                        $ajaxresponse['type'] = 'error';
                        $ajaxresponse['message'] = $e->getMessage();
                }
                // now we are ready to turn this hash into JSON
                print json_encode($ajaxresponse);
                exit;
        }
?>

那么,使用表单发送邮件是否存在安全问题呢?这个可以吗?谢谢!

4

7 回答 7

6

一般来说,经验法则应该是:永远不要相信用户提供的数据。不,您的代码不是防弹的。由于您不验证也不清理用户输入并且您mail()同时使用您很容易受到攻击。用户可以轻松地为您提供精心制作的email4归档价值。由于您直接使用表单数据,因此可以使用 email4 向您的外发邮件注入额外的邮件标题。如果这些标头将是BCC:CC:什至TO:那时您将只是充当垃圾邮件中继。例如,如果我发布这个

some@address.com
CC: spamvictim1@foo.com, spamvictim2@foo.com, spamvictim3@foo.com,
X-Spam-Owned: Whoa

因为您email4的标题将如下所示:

To: some@address.com
CC: spamvictim1@foo.com, spamvictim2@foo.com, spamvictim3@foo.com, 
X-Spam-Owned: Whoa

要发布多行数据,您只需使用 CRLF 粘贴文本。

为了避免这样的安全漏洞,你应该考虑放弃mail()并使用更聪明的东西来处理这样的事情(这不是mail()坏事,但你需要知道你在做什么,因为它比高级功能还低)。我建议使用 PHPMailer 或类似的包。您应该始终验证用户提供的数据(特别是确保单行字段,如主题是真正的单行 - 剥离 CRLF 就足够了)。在您打开自动提交表单时添加验证码。

于 2012-09-07T09:19:08.920 回答
4
  1. 您可以添加验证码以防止垃圾邮件。
  2. 您可以使用以下方法防止电子邮件注入:

    filter_var($email, FILTER_VALIDATE_EMAIL)

于 2012-09-07T09:19:49.287 回答
1

我认为这种形式是安全的,这意味着没有人可以通过这种形式真正地 h@ck 您的网站。
但是您需要添加一些东西以获得更好的结果: 1.您还应该检查 php 服务器端的 post 变量,这意味着您应该检查电子邮件/姓名/消息是否有效
2.您应该添加一些验证码以防止垃圾邮件

于 2012-09-07T09:16:59.587 回答
1

您还可以使用

if(!empty($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') {
  /* special ajax here */
  die($content);
}

这将确保 ajax 请求到达服务器。

请注意您在问题中的一个 jQuery 选择器中使用的 ID。

于 2012-09-07T09:19:58.600 回答
1

即使您不使用数据库,电子邮件发送也可能存在安全问题。当然你不能被这个表单入侵,但是当用户在电子邮件字段中输入这样的内容时就会出现问题:

email-address1@example.com  // there is a new line here
CC:email-address2@example.com,email-addresses3@example.com,.............................email-addressesn@example.com

因此,您可以做的最好的事情是清理邮件功能的所有输入字段,以防止此类垃圾邮件传递。正如@WebnetMobile.com 已经悲伤的那样,永远不要相信用户输入

于 2012-09-07T09:20:20.717 回答
0

您应该在表单中添加验证码、客户端和服务器端验证

于 2012-09-07T12:23:47.543 回答
0

我没有在其中看到安全问题,因为您没有在服务器端修改任何内容。不过可能是垃圾邮件的问题。添加一些验证码。其余的看起来还可以。

于 2012-09-07T09:15:10.030 回答