在阅读了很多教程之后,我只想确保安全。
我制作了一个类似于
的联系方式<form name="contakt" accept-charset="UTF-8" method="post" action="./mail.php">
<input type="text" name="name" />
<input type="text" name="email" />
<input type="text" name="tel" />
<input type="submit" value="Send" name="submit" />
<textarea name="message"></textarea>
</form>
我通过jQuery验证名称和消息是否为空并且不仅仅是空格
我通过jquery用以下脚本检查电子邮件
function ismailornot(email) {
var regex = /^([a-zA-Z0-9_.+-])+\@(([a-zA-Z0-9-])+\.)+([a-zA-Z0-9]{2,4})+$/;
return regex.test(email);
}
现在当我的变量通过并且我在我的mail.php上时,更多的是检查我的脚本$ _SERVER [&#39; HTTP_REFERER&#39;]并查看这些变量是否来自我的自己的剧本?或者你也可以修改$ _SERVER变量吗?
或者我是否已经基本上再次检查每个传递的变量以确保安全?
例如:http://www.w3schools.com/php/php_secure_mail.asp 这个脚本是否可以安全地进行注射?
感谢您帮助我:)
答案 0 :(得分:2)
方式:再次检查每个传递的变量是否安全
答案 1 :(得分:1)
在一些mods之后尝试这个以满足你的需求,这是Larry Ullman的一本书:
function spam_scrubber($value) {
// List of very bad values:
$very_bad = array('to:', 'cc:', 'bcc:', 'content-type:', 'mime-version:','multipart-mixed:',
'content-transfer-encoding:', '<script>');
// If any of the very bad strings are in
// the submitted value, return an empty string:
foreach ($very_bad as $v) {
if (stripos($value, $v) !== false){ return '';}
}
// Replace any newline characters with spaces:
$value = str_replace(array( "\r", "\n", "%0a", "%0d"), ' ', $value);
//remove html tags:
$value = htmlentities($value,ENT_QUOTES);
// Return the value:
return trim($value);
} // End of spam_scrubber() function.
// Clean the form data:
$scrubbed = array_map('spam_scrubber', $_POST);
if(isset($from)) {
$from = $scrubbed['from'];
}else{
$from = '';
}
// Minimal form validation:
if (!empty($from) && !empty($scrubbed['comments']) ) {
// Create the body:
$body = "Name: {$from}\n\nComments: {$scrubbed['comments']}";
$body = wordwrap($body, 70);
// Send the email:
mail('YOUR_EMAIL', 'Contact Form Submission', $body, "From: {$from}");
}