TypechoJoeTheme

御品VPS

统计

ypvps.com

🏃‍♂️人生之路,难免坎坷,但我执着

PHP 安全 E-mail

2018-03-25
/
0 评论
/
186 阅读
/
正在检测是否收录...
03/25

PHP Secure E-mails


在上一节中的 PHP e-mail 脚本中,存在着一个漏洞。


PHP E-mail 注入

首先,请看上一章中的 PHP 代码:

 <html> <head> <meta charset="utf-8"> <title>菜鸟教程(runoob.com)</title> </head> <body>  <?php if (isset($_REQUEST['email'])) { // 如果接收到邮箱参数则发送邮件     // 发送邮件     $email = $_REQUEST['email'] ;     $subject = $_REQUEST['subject'] ;     $message = $_REQUEST['message'] ;     mail("someone@example.com", $subject,     $message, "From:" . $email);     echo "邮件发送成功"; } else { // 如果没有邮箱参数则显示表单     echo "<form method='post' action='mailform.php'>     Email: <input name='email' type='text'><br>     Subject: <input name='subject' type='text'><br>     Message:<br>     <textarea name='message' rows='15' cols='40'>     </textarea><br>     <input type='submit'>     </form>"; } ?>  </body> </html> 

以上代码存在的问题是,未经授权的用户可通过输入表单在邮件头部插入数据。

假如用户在表单中的输入框内加入如下文本到电子邮件中,会出现什么情况呢?

 someone@example.com%0ACc:person2@example.com %0ABcc:person3@example.com,person3@example.com, anotherperson4@example.com,person5@example.com %0ABTo:person6@example.com 

与往常一样,mail() 函数把上面的文本放入邮件头部,那么现在头部有了额外的 Cc:、Bcc: 和 To: 字段。当用户点击提交按钮时,这封 e-mail 会被发送到上面所有的地址!


PHP 防止 E-mail 注入

防止 e-mail 注入的最好方法是对输入进行验证。

下面的代码与上一章中的类似,不过这里我们已经增加了检测表单中 email 字段的输入验证程序:

 <html> <head> <meta charset="utf-8"> <title>菜鸟教程(runoob.com)</title> </head> <body> <?php function spamcheck($field) {     // filter_var() 过滤 e-mail     // 使用 FILTER_SANITIZE_EMAIL     $field=filter_var($field, FILTER_SANITIZE_EMAIL);      //filter_var() 过滤 e-mail     // 使用 FILTER_VALIDATE_EMAIL     if(filter_var($field, FILTER_VALIDATE_EMAIL))     {         return TRUE;     }     else     {         return FALSE;     } }  if (isset($_REQUEST['email'])) {     // 如果接收到邮箱参数则发送邮件      // 判断邮箱是否合法     $mailcheck = spamcheck($_REQUEST['email']);     if ($mailcheck==FALSE)     {         echo "非法输入";     }     else     {             // 发送邮件         $email = $_REQUEST['email'] ;         $subject = $_REQUEST['subject'] ;         $message = $_REQUEST['message'] ;         mail("someone@example.com", "Subject: $subject",         $message, "From: $email" );         echo "Thank you for using our mail form";     } } else {      // 如果没有邮箱参数则显示表单     echo "<form method='post' action='mailform.php'>     Email: <input name='email' type='text'><br>     Subject: <input name='subject' type='text'><br>     Message:<br>     <textarea name='message' rows='15' cols='40'>     </textarea><br>     <input type='submit'>     </form>"; } ?>  </body> </html> 

在上面的代码中,我们使用了 PHP 过滤器来对输入进行验证:

  • FILTER_SANITIZE_EMAIL 过滤器从字符串中删除电子邮件的非法字符
  • FILTER_VALIDATE_EMAIL 过滤器验证电子邮件地址的值

您可以在我们的 PHP Filter 中阅读更多关于过滤器的知识。

utf-8
朗读
赞(0)
版权属于:

御品VPS

本文链接:

http://blog.ypvps.com/index.php/531.html(转载时请注明本文出处及文章链接)

评论 (0)

人生倒计时

今日已经过去小时
这周已经过去
本月已经过去
今年已经过去个月

最新回复

  1. 亚光hu
    2020-10-04
  2. 27896532
    2018-03-13
  3. A WordPress Commenter
    2018-01-24
  4. admin
    2013-05-30

    sysprep win系统改SID
    http://mirrors.arsc.edu/centos/6/isos/x86_64/ 上传网络安装程序iso再装系统
    如是linux 先
    wget http://soluslabs.com/installers/solusvm/install
    chmod 755 install
    ./install
    vzctl create 101 --ostemplate centos-5.0-x86 --config vswap-2g
    vzctl set 101 --onboot yes --save
    vzctl set 101 --ipadd 192.168.1.102 --save
    vzctl set 101 --nameserver 8.8.8.8 --save
    vzctl set 101 --hostname redhat6 --save
    vzcet start 101
    vzctl enter 101
    passwd 改root密码
    vzctl start 101 开机
    vzctl restart 101 重启
    vzctl stop 101 停机
    vzctl destroy 101 删除
    1、先把vps关闭,然后进入服务器
    cd /vz/root
    cp -r 110 120
    cd /vz/private
    cp -r 110 120
    cd /etc/vz/conf
    cp 110.conf 120.conf
    然后修改里面的ip地址和名字即可
    vzctl 120 start 启动第二台vps
    备份:vzdump –compress ID 如 vzdump -compress 101
    恢复:vzdump –restore bakID.tar ID(如101)
    清理缓存内存占用:
    sync
    */15 * * * * echo 3 > /proc/sys/vm/drop_caches 加到15分钟运行一次 内存释放的很痛快
    vi /var/spool/cron/root复制下面的内容添加进去
    00 00 * * * rm -rf /root/.vnc/*.log
    01 00 * * * reboot
    00 03 * * * rm -rf /root/.vnc/*.log
    01 03 * * * reboot
    00 06 * * * rm -rf /root/.vnc/*.log
    01 06 * * * reboot
    00 09 * * * rm -rf /root/.vnc/*.log
    01 09 * * * reboot
    00 12 * * * rm -rf /root/.vnc/*.log
    01 12 * * * reboot
    00 15 * * * rm -rf /root/.vnc/*.log
    01 15 * * * reboot
    00 18 * * * rm -rf /root/.vnc/*.log
    01 18 * * * reboot
    小鸡操作:
    #!/bin/bash
    yum remove portmap* httpd* bind9* samba* nscd* sendmail* -y
    yum install vnc-server -y
    yum install firefox curl -y
    yum install gnome-terminal -y
    yum groupinstall "Chinese Support" -y
    echo 'VNCSERVERS="1:root"'>>/etc/sysconfig/vncservers
    echo 'VNCSERVERARGS[1]="-geometry 300x200"'>>/etc/sysconfig/vncservers
    vncserver
    echo >/root/.vnc/xstartup
    echo '#!/bin/bash'>>/root/.vnc/xstartup
    echo 'gnome-terminal'>>/root/.vnc/xstartup
    echo 'firefox'>>/root/.vnc/xstartup
    chmod +x /root/.vnc/xstartup
    chkconfig vncserver on
    wget http://fpdownload.macromedia.com/get/flashplayer/pdc/11.2.202.243/install_flash_player_11_linux_i386.tar.gz
    tar zxvf install_flash_player_11_linux_i386.tar.gz
    mkdir -p ~/.mozilla/plugins/
    cp libflashplayer.so ~/.mozilla/plugins/
    wget http://vagex.com/vagex_add_on-1.6.1.xpi
    service vncserver restart

  5. admin
    2013-05-28

    重装OpenVZ主服务器的步骤 发表于 2012-03-28 19:24 - 只看楼主
    1 2 3 4 5
    [查看评级用户] 楼主
    .字号 较小字号
    正常字号
    较大字号
    本主题由 糖饭 于 2012/6/8 15:20:00 执行 设置分类 [查看记录]
    1、安装必要程序包
    yum install exim vzdump ncftp
    2、拷贝SolusVM数据库(SolusVM是很常用的管理OpenVZ下VPS的管理面板)
    利用SolusVM的后台备份工具,对整个SolusVM的数据库进行一次备份。您也可以通过以下命令,把备份文件上传到其他服务器上。
    ncftpput -u USERNAME -p PASSWORD FTPSERVERIP /path/on/ftp/server /path/to/database/dump
    当然,也可以想办法转移到自己的本地电脑上。同时,您还需要从solusvm.conf (/usr/local/solusvm/includes/solusvm.conf) 中拷贝加密字符串ENCRYPTION KEY。字符串的格式是:::::。如果你怕拷贝不完全,直接把这个conf文件拷贝下来当然也是可以的。
    3、备份VPS主机
    您可以通过vzdump这个命令来备份全部的VPS主机。同时,需要获取全部VPS的ID编号,您可以通过vzlist -a这个命令来得到。
    [root@www.zhaomu.com]# vzlist -a
    CTID NPROC STATUS IP_ADDR HOSTNAME
    107 – running 109.169.51.15 apitest0.com
    109 – stopped 109.169.51.13 apitest1.com
    110 – running 1.1.1.1 apitest2.com
    然后我们用vzdump –compress CTID这个命令来备份每个VPS主机。示例如下:
    [root@www.zhaomu.com]# vzdump –compress 107
    INFO: Starting new backup job – vzdump –compress 107
    INFO: Starting Backup of VM 107 (openvz)
    INFO: status = CTID 107 exist unmounted down
    INFO: creating archive ‘/vz/dump/vzdump-107.dat’ (/vz/private/107)
    INFO: Total bytes written: 812595200 (775MiB, 7.4MiB/s)
    INFO: file size 151MB
    INFO: Finished Backup of VM 107 (00:01:47)
    [root@www.zhaomu.com]#
    上述命令是把备份导入到/vz/dump/目录中,下面我们通过这个命令把备份上传到FTP服务器上。
    ncftpput -u USERNAME -p PASSWORD FTPSERVERIP /path/on/ftp/server/ /vz/dump/vzdump-107.tgz
    4、其他要备份的东西
    模板文件也是要备份的,每种虚拟化技术对应的模板文件位置如下:
    Xen Templates => /home/solusvm/xen/template/
    Xen ISO’s => /home/solusvm/xen/iso/
    KVM ISO’s => /home/solusvm/xen/iso/
    OpenVZ Templates => /vz/template/cache/
    5、重装操作系统
    在进行完上述备份之后,就可以开始放心的重装操作系统了。
    6、安装SolusVM
    操作系统重装完毕后,按照常规办法来安装SolusVM主控端。
    7、恢复SolusVM数据库
    把之前备份的数据库上传到新服务器上,或者从FTP服务器中下载。新的数据库连接代码,我们可以从/usr/local/solusvm/includes/solusvm.conf获得,具体格式是: ::::
    重要:现在我们把老的加密代码替换进去,这个加密代码之前也备份过。这样我们就可以恢复数据库了:
    命令是:/usr/bin/mysql –user=USER –password=PASSWORD DATABASENAME < database.sql
    恢复完毕后,我们就可以用之前的用户名密码来登录管理界面。
    8、恢复VPS主机
    从FTP服务器上下载每个VPS的备份,比如:FTPSERVERIP /vz/dump/ /path/on/ftp/server/vzdump-107.tgz
    然后进行恢复:vzdump –restore /vz/dump/vzdump-CTID.tgz CTID
    一个示例如下:
    [root@www.zhaomu.com]# vzdump –restore /vz/dump/vzdump-107.tgz 107
    INFO: restore openvz image ‘vzdump-107.tgz’ using ID 107
    INFO: extracting archive ‘vzdump-107.tgz’
    INFO: extracting configuration to ‘/etc/vz/conf/107.conf’
    INFO: restore successful

标签云