電子メールで送信する前にユーザー入力データをサニタイズする必要がありますか

Question

ユーザーからの名前、電子メール、およびメッセージを受け入れるフォームがあります。名前、電子メール、メッセージの検証を行い、mail()機能を使用して送信します。

$name,$emailおよび$messageをデータベースに入力していた場合は、このデータをSQLインジェクションでエスケープします。または、私がウェブページ上にそれをエコーし​​ていた場合は、htmlspecialchars()を使用します。

このデータをメールで送信するにはどうすればよいですか？ SQLインジェクションについて心配する必要はありませんが、XSSについてはどうですか？これら3つの変数についてもhtmlspecialchars()を使用する必要がありますか？

私はこのようなメールを送信：

mail('admin@mywebsite.com', 'Contact From: '. $name, "$message", 'From: '. $email); 

私は、電子メールの注入について読んだが、私はそれを理解することはできません。

私にこれについてお知らせください。

Answer 1

エスケープは、データが埋め込まれるコンテキストに完全に依存します。

HTMLメールを送信していますか？次に、HTMLコンテキストがあり、htmlspecialchars()を使用する必要があります。

プレーンテキストメールを送信する場合、プレーンテキストのエスケープはありません。

唯一の脅威は、メールクライアントがプレーンテキストを実行可能なものとして解釈し、奇妙な名前とメールアドレスを取得したときに動作するバグがあることです。

しかし、これはメールの内容にのみ適用され、実際のヘッダーには適用されません。

カスタムメールヘッダーFromを使用しています。これを使わないでください。 Fromはスパムフィルタで使用されます。メールアドレスを入力してFrom: my@mailでこのメールを送信すると、自分のメールサーバーになりすましています。実際の送信元を隠し、そのメールアドレスの背後にある不幸な人に苦情やエラーフィードバックをリダイレクトするためにこれを使用するスパム。今日、このような虐待を防ぐ仕組みがあります。だから私はこのメールを送っているふりをしないでください。

返信ボタンをクリックして私に返信したい場合は、Reply-toヘッダーを使用しますが、常にFrom: dont-answer@YOURWEBSITE.exampleを使用してください。

さらに、これらのカスタムヘッダーは、悪いもののエントリポイントです。メールアドレスを追加していることを確認してください。改行文字を追加しないでください。これらは、メールサーバが新しいヘッダが来ていると思うようになり、メールヘッダの挿入につながる可能性があります。

Answer 2

問題は簡単です。もし誰かが他の誰かに電子メールを送ることができれば、ほとんどのEmail-ClientsやWebmailインターフェースで解釈されるHTMLやJavaScriptを使って内容を書き換えることができます。彼はiFrameを挿入して別のサイトを読み込んだり、PopUp Scriptを注入したりすることができました。

ブラウザのために入力をサニタイズするのが最も重要です。

Answer 3

あなたはそれはあなたがそれを使用しているかによって異なり

http://www.php.net/manual/en/filter.filters.validate.php

$email = "email@me.com"; 

if(!filter_var($email, FILTER_VALIDATE_EMAIL)) 
    { 
    echo "email not valid"; // do not send 
    } 
else 
    { 
    echo "email valid"; // send 
    }