E-mails sécurisés PHP
- Page précédente E-mail PHP
- Page suivante Erreur PHP
Dans le script PHP e-mail de la section précédente, il existe une faille.
Injection PHP E-mail
Tout d'abord, regardez le code PHP de la section précédente :
<html>
<body>
<?php
if (isset($_REQUEST['email']))
//si "email" est rempli, envoyez l'e-mail
{
//envoyez l'e-mail
$email = $_REQUEST['email'] ;
$subject = $_REQUEST['subject'] ;
$message = $_REQUEST['message'] ;
mail("someone@example.com", "Subject: $subject",
$message, "From: $email" );
echo "Merci d'avoir utilisé notre formulaire de mail";
}
else
//si "email" n'est pas rempli, affichez le formulaire
{
echo "<form method='post' action='mailform.php'>
E-mail: <input name='email' type='text' /><br />
Sujet: <input name='subject' type='text' /><br />
Message:<br />
<textarea name='message' rows='15' cols='40'>
</textarea><br />
<input type='submit' />
</form>";
}
?>
</body>
</html>
Le problème avec le code ci-dessus est que les utilisateurs non autorisés peuvent insérer des données dans l'en-tête de l'e-mail via le formulaire.
Si l'utilisateur ajoute ces textes dans les champs de saisie du formulaire, que se passera-t-il ?
someone@example.com%0ACc:person2@example.com %0ABcc:person3@example.com,person3@example.com, anotherperson4@example.com,person5@example.com %0ABTo:person6@example.com
Comme d'habitude, la fonction mail() place le texte ci-dessus dans l'en-tête de l'e-mail, donc maintenant l'en-tête contient des champs supplémentaires Cc:, Bcc: et To:. Lorsque l'utilisateur clique sur le bouton soumettre, cet e-mail sera envoyé à toutes les adresses ci-dessus !
Prévention de l'injection d'e-mail en PHP
La meilleure manière de prévenir l'injection d'e-mail est de valider les entrées.
Le code suivant est similaire à la section précédente, mais nous avons ajouté un programme de validation de saisie pour le champ e-mail du formulaire :
<html>
<body>
<?php
function spamcheck($field)
{
//filter_var() nettoie l'e-mail
$field=filter_var($field, FILTER_SANITIZE_EMAIL);
//filter_var() valide l'e-mail
if(filter_var($field, FILTER_VALIDATE_EMAIL))
{
return TRUE;
}
else
{
return FALSE;
}
}
if (isset($_REQUEST['email']))
//si "e-mail" est rempli, procéder
//vérifier si l'adresse e-mail est invalide
$mailcheck = spamcheck($_REQUEST['email']);
if ($mailcheck==FALSE)
{
echo "Entrée invalide";
}
else
//envoyer un e-mail
$email = $_REQUEST['email'] ;
$subject = $_REQUEST['subject'] ;
$message = $_REQUEST['message'] ;
mail("someone@example.com", "Subject: $subject",
$message, "From: $email" );
echo "Merci d'avoir utilisé notre formulaire de mail";
}
}
else
{//si "email" n'est pas rempli, affichez le formulaire
echo "<form method='post' action='mailform.php'>
E-mail: <input name='email' type='text' /><br />
Sujet: <input name='subject' type='text' /><br />
Message:<br />
<textarea name='message' rows='15' cols='40'>
</textarea><br />
<input type='submit' />
</form>";
}
?>
</body>
</html>
Dans le code ci-dessus, nous avons utilisé les filtres PHP pour valider les entrées :
- FILTER_SANITIZE_EMAIL supprime les caractères illégaux des adresses e-mail
- FILTER_VALIDATE_EMAIL vérifie l'adresse e-mail
Vous pouvez lire sur notre Filtre PHPLisez plus à propos des filtres dans cette section.
- Page précédente E-mail PHP
- Page suivante Erreur PHP
