验证电子邮件漏洞的表单不起作用

Question

我在我的网站上有联系表单。我做了一个班来处理整个过程。 但有些东西没有在其中工作。

我有2个函数来检查开发，他们不工作。我不知道什么是与他们错了，所以在这里，他们是：

private function _validateExploit($val) { 
    $exploitPattrens = array('content-type', 'to:', 'bcc:', 'cc:', 'document.cookie', 'document.write', 'onclick', 'onload', '\n', '\r', '\t', '%0A', '%0D', '%08', '%09'); 

    foreach ($exploitPattrens as $exploit) { 
     if (strpos($exploit, $val) !== false){ 
      return true; 
     } 
    } 
    return false; 
} 

public function isExploit() { 

    if(call_user_func_array(array($this, '_validateExploit'), $_POST)) { 
      echo $errorMsg; 
    } 
} 

当我打电话isExploit()，它总是返回假的，不管我把它作为输入。

我想call_user_func_array有问题，但我找不到它。

在此先感谢！

Answer 1

strpos($exploit, $val)应该strpos($val, $exploit)

你也有echo $errorMsg;但从未定义$errorMsg。

我想你可能需要array_walk（http://us3.php.net/manual/en/function.array-walk.php）而不是call_user_func_array。我只是循环$ _POST，而不是使用这两个函数。在这种情况下，我不认为他们真的会给你买东西 - 而且他们可能不会像你期待的那样回报价值。

Answer 2

您正在将$_POST变量传递给函数。 $_POST是call_user_func_array()函数所需的数组，但您不会将它视为_validateExploit函数中的数组。你把它当作一个字符串来对待。您需要循环遍历$ val数组，以及测试该数组中的每个项目，或者只需选择一个。如另一个答案中所示，您也可以在strpos()中将您的干草堆和针头逆转。

private function _validateExploit($val) { 
    $exploitPattrens = array('content-type', 'to:', 'bcc:', 'cc:', 'document.cookie', 'document.write', 'onclick', 'onload', '\n', '\r', '\t', '%0A', '%0D', '%08', '%09'); 

    foreach ($exploitPattrens as $exploit) { 
     foreach ($val as $itm) { 
      if (strpos($itm, $exploit) !== false){ 
       return true; 
      } 
     } 
    } 
    return false; 
}