Prevenzione corretta dell'iniezione di posta in PHP

Question

Potresti consigliarmi come procedere per evitare email injection in PHP mail() senza perdere i dati del messaggio originale? Per esempio. se devo consentire all'utente di utilizzare \r\n, To, CC ecc., quindi non voglio eliminarli completamente dal messaggio - voglio ancora che vengano consegnati, ma senza aggiungere ulteriori intestazioni o in qualche modo consentire l'invio di posta elettronica.

La maggior parte dei suggerimenti su Internet suggeriscono di eliminare completamente questi dati, ma non voglio farlo.

Sto inviando messaggi di testo semplice (non HTML) tramite la funzione PHP mail().

Che cosa consiglieresti?

Answer 1

Per filtrare messaggi di posta elettronica validi per l'utilizzo in campo e-mail del destinatario, dare un'occhiata a filter_var():

$email = filter_var($_POST['recipient_email'], FILTER_VALIDATE_EMAIL); 

if ($email === FALSE) { 
    echo 'Invalid email'; 
    exit(1); 
} 

Questo farà in modo gli utenti forniscono solo singolari, e-mail validi, che si può poi passare alla mail() funzione. Per quanto ne so, non c'è modo di iniettare intestazioni attraverso il corpo del messaggio usando la funzione PHP mail(), in modo che i dati non abbiano bisogno di alcuna elaborazione speciale.

Aggiornamento:

Secondo the documentation for mail(), quando si sta parlando direttamente a un server SMTP, è necessario per evitare punti fermi nel corpo del messaggio:

$body = str_replace("\n.", "\n..", $body); 

Aggiornamento # 2:

Apparentemente, è anche possibile iniettare tramite il soggetto, ma poiché non c'è lo FILTER_VALIDATE_EMAIL_SUBJECT, è necessario farlo Il filtraggio da soli:

$subject = str_ireplace(array("\r", "\n", '%0A', '%0D'), '', $_POST['subject']); 

Answer 2

si supponga di voler inserire l'indirizzo email del visitatore nel campo di intestazione opzionale in questo modo:

$headers = "From: $visitorEmailAddress"; 

Tuttavia, se

$ visitorEmailAddress

contiene

"address@email.com \ n \ nBCC: spam@v1agra.com"

ti sei fatto una serie di spam, aprendo la porta per l'iniezione elettronica. Questo è un esempio molto semplice, ma gli spammer creativi e gli hacker malintenzionati possono inserire degli script potenzialmente dannosi nella tua email, dato che l'e-mail viene inviata come un file di testo in chiaro. Anche gli allegati sono convertiti in testo semplice e possono facilmente inviare allegati aggiungendo una riga di contenuto del tipo di imminente.

Se la convalida del modulo per i campi FROM e/o TO è OK, è necessario esaminare la convalida del modulo per il corpo dell'e-mail.Spoglio i caratteri '- =' e '= -' e impedisco agli utenti di digitare codice HTML semplice usando strip_tags().

Answer 3

Prova questo per una revisione delle varie opzioni:

http://www.codeproject.com/Articles/428076/PHP-Mail-Injection-Protection-and-E-Mail-Validatio

Esso copre diverse opzioni e cerca di spiegare ai rischi ei benefici di ciascuno.

Answer 4

utilizzare una libreria mimo e-mail designato, come Mail_Mime:

<?php 
include 'Mail.php'; 
include 'Mail/mime.php' ; 

$mime = new Mail_mime(); 

$mime->setTXTBody("Message goes here"); 
$hdrs = $mime->headers(array(
    'From' => 'you@yourdomain.com', 
    'Subject' => 'Test mime message' 
)); 
$body = $mime->get(); 

$mail = &Mail::factory('mail'); 
$mail->send('postmaster@localhost', $hdrs, $body); 

?>