php Formulaire d'e-mail désinfection

Question

im en utilisant ce qui suit pour nous envoyer un formulaire de contact, iv regardé dans la sécurité et seulement trouvé que vous devez protéger le bit De: de la fonction mail, comme ive hardcoded cela signifie le script est anti-spam/non-détournable

$tenantname = $_POST['tenan']; 
$tenancyaddress = $_POST['tenancy']; 
$alternativename = $_POST['alternativ']; 
//and a few more 
//then striptags on each variable 

$to = "hardcoded@email.com"; 
$subject = "hardcoded subject here"; 
$message = "$tenantname etc rest of posted data"; 
$from = "noreply@email.com"; 
$headers = "From: $from"; 

mail($to,$subject,$message,$headers); 

Answer 1

Unjackable? Oui.

Anti-spam? Je ne le décrirais pas comme ça, car le formulaire peut toujours être utilisé pour spammer la cible du formulaire.

Answer 2

Si vous utilisez des données de formulaire pour créer $from (pas tout à fait sûr de votre code), $from pourrait être utilisé pour ajouter des en-têtes supplémentaires (BCC/CC), un peu comme l'injection SQL.

Mise à jour: Maintenant, avec le code un peu plus lisible, je me rends compte que cela ne devrait pas être un problème pour vous.

Answer 3

Il y a quelques considérations $headers ne doit jamais être contrôlé par un attaquant. S'ils peuvent contrôler cette variable, ils peuvent injecter un crlf \r\n et transformer ce forum en une passerelle de spam ouverte. PHP-Nuke était vulnérable à cela il y a un certain temps.

La deuxième considération est la limitation de débit. Un bot bête va à ce forum quelques milliers de fois. Ils pourraient même ne pas spammer, mais juste balayer votre site pour l'injection de sql pour entrer. Vous devriez utiliser reCapthca pour empêcher des robots de soumettre ce forum.