php - FILTER_SANITIZE_EMAIL毫无意义吗?

时间:2011-09-03 01:52:44

标签: php xss

我只是创建一个注册表单,我只希望将有效且安全的电子邮件插入数据库。

多个站点(包括w3schools)建议在运行FILTER_VALIDATE_EMAIL之前运行FILTER_SANITIZE_EMAIL是安全的;但是,这可能会将提交的电子邮件从无效的电子邮件更改为有效的电子邮件,这可能不是用户想要的,例如:

用户的电子邮件地址为jeff!@gmail.com,但不小心插入了jeff“@ gmail.com。

FILTER_SANITIZE_EMAIL会删除“将FILTER_VALIDATE_EMAIL称为有效的电子邮件jeff@gmail.com,即使它不是用户的实际电子邮件地址也是有效的。

为避免此问题,我计划只运行FILTER_VALIDATE_EMAIL。 (假设我不打算输出/处理任何宣布无效的电子邮件)

这将告诉我该电子邮件是否有效。如果是,那么应该没有必要通过FILTER_SANITIZE_EMAIL传递它,因为任何非法/不安全的字符,都会导致电子邮件返回无效,对吗?

由于白色空格,圆括号()和分号会使电子邮件无效,我也不知道FILTER_VALIDATE_EMAIL批准的任何可用于注入/ xss的电子邮件。或者我错了吗?

(注意:除了这个,我将使用预备语句来插入数据,我只想清除它)

4 个答案:

答案 0 :(得分:21)

以下是仅插入有效电子邮件的方法。

<?php
$original_email = 'jeff"@gmail.com';

$clean_email = filter_var($original_email,FILTER_SANITIZE_EMAIL);

if ($original_email == $clean_email && filter_var($original_email,FILTER_VALIDATE_EMAIL)){
   // now you know the original email was safe to insert.
   // insert into database code go here. 
}

FILTER_VALIDATE_EMAILFILTER_SANITIZE_EMAIL都是有价值的功能,具有不同的用途。

验证是否测试电子邮件是否为有效格式。 消毒是为了清除电子邮件中的坏人物。

<?php
$email = "test@hostname.com"; 
$clean_email = "";

if (filter_var($email,FILTER_VALIDATE_EMAIL)){
    $clean_email =  filter_var($email,FILTER_SANITIZE_EMAIL);
} 

// another implementation by request. Which is the way I would suggest
// using the filters. Clean the content and then make sure it's valid 
// before you use it. 

$email = "test@hostname.com"; 
$clean_email = filter_var($email,FILTER_SANITIZE_EMAIL);

if (filter_var($clean_email,FILTER_VALIDATE_EMAIL)){
    // email is valid and ready for use
} else {
    // email is invalid and should be rejected
}

PHP是开源的,所以只需使用它就可以轻松回答这些问题。

Source for FILTER_SANITIZE_EMAIL

/* {{{ php_filter_email */
#define SAFE        "$-_.+"
#define EXTRA       "!*'(),"
#define NATIONAL    "{}|\\^~[]`"
#define PUNCTUATION "<>#%\""
#define RESERVED    ";/?:@&="

void php_filter_email(PHP_INPUT_FILTER_PARAM_DECL)
{
    /* Check section 6 of rfc 822 http://www.faqs.org/rfcs/rfc822.html */
    const unsigned char allowed_list[] = LOWALPHA HIALPHA DIGIT "!#$%&'*+-=?^_`{|}~@.[]";
    filter_map     map;

    filter_map_init(&map);
    filter_map_update(&map, 1, allowed_list);
    filter_map_apply(value, &map);
}    

Source for FILTER_VALIDATE_EMAIL

void php_filter_validate_email(PHP_INPUT_FILTER_PARAM_DECL) /* {{{ */
{
const char regexp[] = "/^(?!(?:(?:\\x22?\\x5C[\\x00-\\x7E]\\x22?)|(?:\\x22?[^\\x5C\\x22]\\x22?)){255,})(?!(?:(?:\\x22?\\x5C[\\x00-\\x7E]\\x22?)|(?:\\x22?[^\\x5C\\x22]\\x22?)){65,}@)(?:(?:[\\x21\\x23-\\x27\\x2A\\x2B\\x2D\\x2F-\\x39\\x3D\\x3F\\x5E-\\x7E]+)|(?:\\x22(?:[\\x01-\\x08\\x0B\\x0C\\x0E-\\x1F\\x21\\x23-\\x5B\\x5D-\\x7F]|(?:\\x5C[\\x00-\\x7F]))*\\x22))(?:\\.(?:(?:[\\x21\\x23-\\x27\\x2A\\x2B\\x2D\\x2F-\\x39\\x3D\\x3F\\x5E-\\x7E]+)|(?:\\x22(?:[\\x01-\\x08\\x0B\\x0C\\x0E-\\x1F\\x21\\x23-\\x5B\\x5D-\\x7F]|(?:\\x5C[\\x00-\\x7F]))*\\x22)))*@(?:(?:(?!.*[^.]{64,})(?:(?:(?:xn--)?[a-z0-9]+(?:-+[a-z0-9]+)*\\.){1,126}){1,}(?:(?:[a-z][a-z0-9]*)|(?:(?:xn--)[a-z0-9]+))(?:-+[a-z0-9]+)*)|(?:\\[(?:(?:IPv6:(?:(?:[a-f0-9]{1,4}(?::[a-f0-9]{1,4}){7})|(?:(?!(?:.*[a-f0-9][:\\]]){7,})(?:[a-f0-9]{1,4}(?::[a-f0-9]{1,4}){0,5})?::(?:[a-f0-9]{1,4}(?::[a-f0-9]{1,4}){0,5})?)))|(?:(?:IPv6:(?:(?:[a-f0-9]{1,4}(?::[a-f0-9]{1,4}){5}:)|(?:(?!(?:.*[a-f0-9]:){5,})(?:[a-f0-9]{1,4}(?::[a-f0-9]{1,4}){0,3})?::(?:[a-f0-9]{1,4}(?::[a-f0-9]{1,4}){0,3}:)?)))?(?:(?:25[0-5])|(?:2[0-4][0-9])|(?:1[0-9]{2})|(?:[1-9]?[0-9]))(?:\\.(?:(?:25[0-5])|(?:2[0-4][0-9])|(?:1[0-9]{2})|(?:[1-9]?[0-9]))){3}))\\]))$/iD";

pcre       *re = NULL;
pcre_extra *pcre_extra = NULL;
int preg_options = 0;
int         ovector[150]; /* Needs to be a multiple of 3 */
int         matches;


/* The maximum length of an e-mail address is 320 octets, per RFC 2821. */
if (Z_STRLEN_P(value) > 320) {
    RETURN_VALIDATION_FAILED
}

re = pcre_get_compiled_regex((char *)regexp, &pcre_extra, &preg_options TSRMLS_CC);
if (!re) {
    RETURN_VALIDATION_FAILED
}
matches = pcre_exec(re, NULL, Z_STRVAL_P(value), Z_STRLEN_P(value), 0, 0, ovector, 3);

/* 0 means that the vector is too small to hold all the captured substring offsets */
if (matches < 0) {
    RETURN_VALIDATION_FAILED
}

}

答案 1 :(得分:5)

执行此操作的“正确”方式是要求用户的电子邮件两次(这是常见/良好做法)。但要回答你的问题,FILTER_SANITIZE_EMAIL并非毫无意义。这是一个清理电子邮件的过滤器,它可以很好地完成工作。

您需要了解validates返回truefalse的过滤器,而sanitizes实际修改给定变量的过滤器。这两个的目的是相同的。

答案 2 :(得分:3)

我读了同样的文章并且想到了同样的事情:简单地改变一个无效的变量是不够的。我们需要实际告诉用户存在问题,而不是忽略它。我认为,解决方案是将原始版本与已清理版本进行比较。即要使用w3schools示例,只需添加:

$cleanfield=filter_var($field, FILTER_SANITIZE_EMAIL);
if($cleanfield != $field){
return FALSE;
}

答案 3 :(得分:1)

不要重新发明轮子,让你的邮件服务器完成工作:正确email verification/validation is too complex matter手动完成所有工作。例如。事实上,有效的电子邮件可能包含符合RFC2822的空格。甚至没有提到IDN

将所有输出转义为XSS的安全。像往常一样转义SQL参数。使用预备查询。如果你正确地逃避了所有输入和输出,那么保存到数据库中的内容并不重要,因此清理这种数据毫无意义。

底线:

  • 仅检查电子邮件的基本正确性,
  • 如果必须,请使用FILTER_VALIDATE_EMAIL
  • 不要将FILTER_SANITIZE_EMAIL用于用户提交的数据。

(认为值得注意的是,在某些旧版本的PHP FILTER_VALIDATE_EMAIL上,对于典型的互联网网站来说,它的工作效果不佳:它会告诉您john@gmail是有效的电子邮件。 )