一位客户最近收到了来自其主机的垃圾邮件警告。
我想我已经将问题指向一个旧的联系我们表格。前端的简单 html 和后端的简单 PHP 脚本。
if ($_POST['submit'] == "Send"){
//START SEND MAIL SCRIPT
$mail = $_POST['email'];
$to = "me@gmail.com";
$subject = "Message from Website Contact Us Form";
$headers = "From: Contact us Form <webmaster@website.co.uk>";
$message = "Message from Contact Us Form\n\n";
$message .= "\nName: " . $_POST['contactname'];
$message .= "\nEmail: " . $_POST['contactemail'];
$message .= "\nTelephone: " . $_POST['contactphone'];
$message .= "\n\n\nMessage:\n" . $_POST['contactmessage'];
if(mail($to,$subject,$message,$headers)) {
header('Location: http://www.website.co.uk/contact-us/?action=success');
}else{
header('Location: http://www.webisite.co.uk/contact-us/?action=fail');
}//END IF MAIL
}//END SCRIPT
我知道修复它的补救措施,例如正确清理帖子变量、使用验证码、使用隐藏的“蜜罐”空白字段、js 技巧等(我也喜欢这个脚本的外观http://www.alt-php- faq.com/local/115/ )
但是为了帮助我理解发生了什么,我想知道这个脚本是如何被操纵的。一个向其发布变量的外国脚本,但他们如何向除“me@gmail.com”之外的任何人发送电子邮件,或者如果他们以某种方式强制抄送/密送字段,为什么我也没有收到所有垃圾邮件?
谢谢