在上一节中的 PHP e-mail 脚本中,存在着一个漏洞。
首先,请看上一章中的 PHP 代码:
<html>
<head>
<meta charset="utf-8">
<title>菜鸟教程(runoob.com)</title>
</head>
<body>
<?php
if (isset($_REQUEST['email'])) { // 如果接收到邮箱参数则发送邮件
// 发送邮件
$email = $_REQUEST['email'] ;
$subject = $_REQUEST['subject'] ;
$message = $_REQUEST['message'] ;
mail("someone@example.com", $subject,
$message, "From:" . $email);
echo "邮件发送成功";
} else { // 如果没有邮箱参数则显示表单
echo "<form method='post' action='mailform.php'>
Email: <input name='email' type='text'><br>
Subject: <input name='subject' type='text'><br>
Message:<br>
<textarea name='message' rows='15' cols='40'>
</textarea><br>
<input type='submit'>
</form>";
}
?>
</body>
</html>
以上代码存在的问题是,未经授权的用户可通过输入表单在邮件头部插入数据。
假如用户在表单中的输入框内加入如下文本到电子邮件中,会出现什么情况呢?
someone@example.com%0ACc:person2@example.com %0ABcc:person3@example.com,person3@example.com, anotherperson4@example.com,person5@example.com %0ABTo:person6@example.com
与往常一样,mail() 函数把上面的文本放入邮件头部,那么现在头部有了额外的 Cc:、Bcc: 和 To: 字段。当用户点击提交按钮时,这封 e-mail 会被发送到上面所有的地址!
防止 e-mail 注入的最好方法是对输入进行验证。
下面的代码与上一章中的类似,不过这里我们已经增加了检测表单中 email 字段的输入验证程序:
<html>
<head>
<meta charset="utf-8">
<title>菜鸟教程(runoob.com)</title>
</head>
<body>
<?php
function spamcheck($field)
{
// filter_var() 过滤 e-mail
// 使用 FILTER_SANITIZE_EMAIL
$field=filter_var($field, FILTER_SANITIZE_EMAIL);
//filter_var() 过滤 e-mail
// 使用 FILTER_VALIDATE_EMAIL
if(filter_var($field, FILTER_VALIDATE_EMAIL))
{
return TRUE;
}
else
{
return FALSE;
}
}
if (isset($_REQUEST['email']))
{
// 如果接收到邮箱参数则发送邮件
// 判断邮箱是否合法
$mailcheck = spamcheck($_REQUEST['email']);
if ($mailcheck==FALSE)
{
echo "非法输入";
}
else
{
// 发送邮件
$email = $_REQUEST['email'] ;
$subject = $_REQUEST['subject'] ;
$message = $_REQUEST['message'] ;
mail("someone@example.com", "Subject: $subject",
$message, "From: $email" );
echo "Thank you for using our mail form";
}
}
else
{
// 如果没有邮箱参数则显示表单
echo "<form method='post' action='mailform.php'>
Email: <input name='email' type='text'><br>
Subject: <input name='subject' type='text'><br>
Message:<br>
<textarea name='message' rows='15' cols='40'>
</textarea><br>
<input type='submit'>
</form>";
}
?>
</body>
</html>
在上面的代码中,我们使用了 PHP 过滤器来对输入进行验证:
您可以在我们的 PHP Filter 中阅读更多关于过滤器的知识。
我正在尝试使用IMAP和rubymailgem获取gmail的正文。当我按照anotherstackoverflowanswer.中的描述获取RFC822字段时,它工作得很好.Fiedl很好地描述了这种方法answer类似的问题。这种方法很棒,只是它需要获取RFC822,而RFC822也会获取所有附件。是否有任何其他领域或其他方法我可以采取不获取附件但仍然使用rubymailgem来获得解码良好的正文? 最佳答案 您必须解析并理解返回的BODYSTRUCTURE响应的实际结构,请参阅RFC3501,p.56.还要记住应用相关
我正在使用Watir进行自动化,它会创建一封我需要检查的电子邮件。有人指出电子邮件gem是执行此操作的最简单方法。我添加了以下代码,并且能够从我的收件箱中收到第一封电子邮件。require'mail'require'openssl'Mail.defaultsdoretriever_method:pop3,:address=>"email.someemail.com",:port=>995,:user_name=>'domain/username',:password=>'pwd',:enable_ssl=>trueendputsMail.first我是这个论坛的新手,有以下问题:如何获
我找不到Mailgem的完整文档https://github.com/mikel/mail对于文档,所有链接都指向github主页面,但自述文件远未完成。有没有其他方法可以在源代码中搜索所有内容? 最佳答案 根据以上评论中的@d11wtq,您可以在ruby-doc.org上找到rdoc文档和rubydoc.info 关于ruby"Mail"gem文档,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/q
我试图在Ruby中使用Net::IMAP来搜索我发送的所有邮件,但我无法选择收件箱以外的任何内容。imap.select('INBOX')工作正常,但是imap.select('Mail/sent-mail')如Net::IMAP文档所示,显示“未知邮箱”。顺便说一句,这是与gmail一起使用的。我还尝试将“in”、“anywhere”添加到我的imap.search()中,但没有解析。当前代码:imap.select('INBOX')now=Time.now.localtime-1209600#twoweekssince=now.day.to_s()+"-"+Date::MONTHN
我正在使用go-mail发送邮件。我在邮件中嵌入图像经过m.Embed("common/static/img/logo.png")并在HTML中使用它运行main.go时运行正常。但是,当我要投影并执行main.exe时,出现错误“系统找不到指定的路径。” 最佳答案 这里可能有多个问题。一个是您使用的文件路径具有特定于平台的路径分隔符。Windows使用“\”而不是“/”。要编写与平台无关的路径,请使用https://godoc.org/path/filepath#Joinfilepath.Join("common","static
在用于设置“退回域”的SparkPost(电子邮件发送提供商)文档中说specifiedinthe[...]mailfromheaderintheSMTPpayloadhttps://www.sparkpost.com/docs/tech-resources/custom-bounce-domain/但是当我设置“MAILFROM”header时,我从他们的服务器收到回复5505.6.0Invalidheaderfound(seeRFC2822section3.6)我正在使用插件gomail"gopkg.in/gomail.v2"设置“MAILFROM”header的实际含义是什么?如
我有点迷路了。通过GAE发送电子邮件似乎不起作用。抛出的错误是:无法发送电子邮件:API错误1(邮件:INTERNAL_ERROR):内部错误我已经尝试了几个不同的发件人地址,但似乎都始终如一地有效。有时它有效有时它不。在本地,一切似乎都正常(当然没有邮件发送,但日志显示发送假设的电子邮件)。代码:func(coinflip*Coinflip)mailParticipants(contextappengine.Context,key*datastore.Key){participants,_,_:=coinflip.fetchParticipants(context)fori:=ran
这就是我使用Mail::IMAPClient连接GMail的方式subconnectGMail{my$socket=IO::Socket::SSL->new(PeerAddr=>'imap.gmail.com',PeerPort=>993,SSL_verify_mode=>SSL_VERIFY_NONE)ordie"socket():$@";my$client=Mail::IMAPClient->new(User=>'whateverUser',Password=>'aG00dP455w0rd'Socket=>$socket)ordie"Cannotconnect($@)\n";ret
我有一个简单的测试脚本,用于使用cpan模块Mail::Sendmail向自己发送电子邮件。我正在使用StrawberryPerl并通过命令行在Windows机器上操作,一切似乎都很好。我收到一条错误消息,提示connecttolocalhostfailed(Noconnectioncouldbemadebecausethetargetmachinerefused.)我的脚本是:useMail::Sendmailqw(sendmail%mailcfg);$mailcfg{from}='dhagan@idatech.com';print"TestingMail::Sendmailvers
此Mail::IMAPClient->new()在Windows7中卡住:subconnectGMail{my$client=Mail::IMAPClient->new(Server=>'imap.gmail.com',Port=>993,Ssl=>1,User=>'whateverUser',Password=>'aG00dP455w0rd',Socket=>IO::Socket::SSL->new(SSL_verify_mode=>SSL_VERIFY_NONE))ordie"Cannotconnect($@)\n";return$client;}我尝试停用Windows防火墙,但