php邮件功能；这种使用方式安全吗？

Question

我有一个分类网站，每个分类里面都有一个小表格。

这个表格是为了让用户能够给他们的“朋友”打赏：

<form action="/bincgi/tip.php" method="post" name="tipForm" id="tipForm">
Tip: <input name="email2" id="email2" type="text" size="30 />
<input type="submit" value="Skicka Tips"/>
<input type="hidden" value="<?php echo $ad_id;?>" name="ad_id2" id="ad_id2" />
<input type="hidden" value="<?php echo $headline;?>" name="headline2" id="headline2" />
</form>

然后表单被提交到一个tip.php页面，这是我的Q，下面的代码安全吗，即它足够好还是我需要做一些卫生和更多的安全细节？

    $to = filter_var($_POST['email2'], FILTER_SANITIZE_EMAIL);
    $ad_id = $_POST['ad_id2'];
    $headline = $_POST['headline2'];

     $subject = 'You got a tip';

     $message ='Hi. You got a tip: '.$headline.'.\n';

    $headers = 'From: Tips@domain.com\r\n';
    mail($to, $subject, $message, $headers);

我还没有测试上述内容。

Answer 1

您将 $ad_id 和 $headline 传递给 HTML 只是为了让它直接返回，保持不变。由于 ad_id 和标题在表单中不可编辑，不要将它们放在表单上，将它们保留在服务器上。这是最安全的。

Answer 2

无论您进行何种过滤，您都需要对这些电子邮件的发送进行速率限制。即使它们看起来来自您并且有一些特定于站点的文本，自动机器人也可能会向其中的数十万个垃圾邮件发送垃圾邮件并获得某种响应（并将您的电子邮件服务器列入黑名单）。只让他们每小时发送少量，您就不会切断合法流量。

Answer 3

在使用之前清理输入是个好主意。检查以确保两个 post 变量的格式正确（例如，只有文本或数字（使用 Regex 或 is_numeric 等））

Answer 4

您在 $ad_id = $_POST['ad_id2']; 和 $headline = $_POST['headline2']; 中似乎有 XSS。

mail() 存在安全问题。您必须小心 $headers 中的 CRLF 注入 \r\n。在这种情况下 $headers 不受攻击者控制，因此您无需担心。另一点虽然称为 CRLF 注入，但也可以称为 LF 注入，因为您真正需要的只是一个新行，因为 SMTP 是一种宽容协议。

Answer 5

如果$headline来自您自己的数据库，我不会将文本放在隐藏字段中，而是将标题的id放在并在发送邮件之前从数据库中检索实际文本。

这样你就可以 A. 简单地检查 id 是否真的是一个整数 B. 确定只发送有效的标题；现在有人可以发布您的表单，用他们想要的任何文字替换您的标题。