考虑到安全性，PHP表单验证需要注意什么？

Question

我从2012年接触到现成的contact form on TutWow。它使用2007年的Douglas Lovell's PHP e-mail validation来检查电子邮件字段是否有效（甚至查询DNS服务器以查看域是否有效）。 6岁时，问题就出现了 - 它还是相关的吗？

一般来说，人们通常应该在mail()脚本中寻找哪些脚本以确保其安全，但占用的空间最小？ Lovell先生的剧本与TutWow的PHP配合是否合格？

这里是组合的PHP：

<?php 

// Clean up the input values 
foreach($_POST as $key => $value) { 
    if(ini_get('magic_quotes_gpc')) 
    $_POST[$key] = stripslashes($_POST[$key]); 

    $_POST[$key] = htmlspecialchars(strip_tags($_POST[$key])); 
} 

// Assign the input values to variables for easy reference 
$name = $_POST["name"]; 
$email = $_POST["email"]; 
$message = $_POST["message"]; 

// Test input values for errors 
$errors = array(); 
if(strlen($name) < 2) { 
    if(!$name) { 
    $errors[] = "You must enter a name."; 
    } else { 
    $errors[] = "Name must be at least 2 characters."; 
    } 
} 
if(!$email) { 
    $errors[] = "You must enter an email."; 
} else if(!validEmail($email)) { 
    $errors[] = "You must enter a valid email."; 
} 
if(strlen($message) < 10) { 
    if(!$message) { 
    $errors[] = "You must enter a message."; 
    } else { 
    $errors[] = "Message must be at least 10 characters."; 
    } 
} 

if($errors) { 
    // Output errors and die with a failure message 
    $errortext = ""; 
    foreach($errors as $error) { 
    $errortext .= "<li>".$error."</li>"; 
    } 
    die("<span class='failure'>The following errors occured:<ul>". $errortext ."</ul></span>"); 
} 

// Send the email 
$to = "YOUR_EMAIL"; 
$subject = "Contact Form: $name"; 
$message = "$message"; 
$headers = "From: $email"; 

mail($to, $subject, $message, $headers); 

// Die with a success message 
die("<span class='success'>Success! Your message has been sent.</span>"); 

// A function that checks to see if 
// an email is valid 
function validEmail($email) 
{ 
    $isValid = true; 
    $atIndex = strrpos($email, "@"); 
    if (is_bool($atIndex) && !$atIndex) 
    { 
     $isValid = false; 
    } 
    else 
    { 
     $domain = substr($email, $atIndex+1); 
     $local = substr($email, 0, $atIndex); 
     $localLen = strlen($local); 
     $domainLen = strlen($domain); 
     if ($localLen < 1 || $localLen > 64) 
     { 
     // local part length exceeded 
     $isValid = false; 
     } 
     else if ($domainLen < 1 || $domainLen > 255) 
     { 
     // domain part length exceeded 
     $isValid = false; 
     } 
     else if ($local[0] == '.' || $local[$localLen-1] == '.') 
     { 
     // local part starts or ends with '.' 
     $isValid = false; 
     } 
     else if (preg_match('/\\.\\./', $local)) 
     { 
     // local part has two consecutive dots 
     $isValid = false; 
     } 
     else if (!preg_match('/^[A-Za-z0-9\\-\\.]+$/', $domain)) 
     { 
     // character not valid in domain part 
     $isValid = false; 
     } 
     else if (preg_match('/\\.\\./', $domain)) 
     { 
     // domain part has two consecutive dots 
     $isValid = false; 
     } 
     else if(!preg_match('/^(\\\\.|[A-Za-z0-9!#%&`_=\\/$\'*+?^{}|~.-])+$/', 
       str_replace("\\\\","",$local))) 
     { 
     // character not valid in local part unless 
     // local part is quoted 
     if (!preg_match('/^"(\\\\"|[^"])+"$/', 
      str_replace("\\\\","",$local))) 
     { 
      $isValid = false; 
     } 
     } 
     if ($isValid && !(checkdnsrr($domain,"MX") || checkdnsrr($domain,"A"))) 
     { 
     // domain not found in DNS 
     $isValid = false; 
     } 
    } 
    return $isValid; 
} 

?> 

Answer 1

这个验证不是我见过的最好的。我通过快速看它注意的是：

• 它采用htmlspecialchars()没有编码参数
• 它采用strip_tags()一个原因，我看不出
• 它使用的strlen代替mb_strlen
• 这是容易遭受标题注入
• 而mail validation不是我见过的最好的
• 没有CSRF标记
• Theer is no captcha

Answer 2

通过我的所有项目，我发现this guide是最有帮助的安全明智的。

它有许多部分，包括表格处理，数据库和SQL，会话等。

Answer 3

也许最安全的方法是发送发件人发送一封电子邮件，要求他们确认他们确实发送了邮件。此外，为了防止您的联系表格变成垃圾邮件系统，每个IP地址可以提交的合同号码数量限制为每24小时1个，假设回复将通过常规电子邮件完成。