emailを検証するのにfilter_varを使うべきですか？

Question

データベースレイヤーに送信する前に、すべての入力を検証するクラスがあります。私の問題はエスケープや何かに関する問題ではないことに注意してください。私のデータベース層はSQLインジェクションの問題を処理します。私がしたいのは、その電子メールが有効であるかどうかを検証することです。なぜなら、その電子メールが「送信先」として使用される可能性があるからです。たとえば、ユーザーは電子メールに送信されたリンクを介して自分のアカウントへのアクセスを回復します。私はfilter_varについてたくさんのことを読んでいて、それに反対している人がたくさんいて、他の人が好きです。 「私は電子メールを検証し、データベースやHTMLやXSSなどのためにフィルタリングしない」ということに重点を置いて、filter_varを使用する際に問題がありますか？

Answer 1

。

標準ライブラリの検証を使用する代わりに、自家製の一つは、複数の利点があります：既にあなたも、うまくいけば、電子メールの検証の経験で、使用されるコード（だけでなく、少なくとも2）を見

1. 多くの眼球をそれがリリースに統合される前に。
2. です。unit testedです。
3. 他の人は同じチェックとreport bugsを使用し、これらの修正をPHPアップデートで無料で入手できます。

電子メールアドレスの形式を確認することは、本当のことを本当に知りたい場合は、最初の防衛線に過ぎません。メッセージを送信する必要があります。

Answer 2

はい、あなたが使用する必要がありfilter_varが、これは、あなたがそれを組み込むことができる方法である：はい、あなたがすべき

if(filter_var($email ,FILTER_VALIDATE_EMAIL)) 
{ 
    /* 
    * Rest of your code 
    */ 
} 

Answer 3

はい。しかし、checkdnsrr()もここで言及する価値があるかもしれません。

filter_var()は、ローカルコンテキスト（例：someone @ localhost）で有効な可能性があるため、不完全なドメインを承認します。これは、人々がTLDやドメイン名のドット（例えばhattie.jacques@gmailcom）を見逃してしまう偽陽性につながる可能性があります。

ドメインでcheckdnsrr()ルックアップを実行してこれらをキャッチ - MXレコードが見つかった場合ドメインとアドレスが有効な場合、あなたはほとんどあなたのベストを尽くしました。

例コード：

if(filter_var($email, FILTER_VALIDATE_EMAIL)) 
{ 
    list($userName, $mailDomain) = explode("@", $email); 
    if (!checkdnsrr($mailDomain, "MX")) 
    { 
     // Email is unreachable. 
    } 
} 
else 
{ 
    // Email is bad. 
} 

checkdnsrr()は（私の経験では）かなりの瞬間であり、私はまだそれが動作しない環境を見つけていませんでした。

Answer 4

残念なことに、filter_varはアドレスのローカル部分（@の前）でUTF8をサポートしていないため、ドメイン名を別途idn_to_asciiで実行する必要があります（これは面倒です） 。

filter_varは、私の意見ではかなりユニークな電子メールアドレスが表示されますが、より正当な電子メールアドレスは失敗します。特に、中国やブラジルのような国では、より正当な電子メールアドレスが失敗します。これらのアドレス。 filter_varでは、root@localhostのような電子メールアドレスも許可されていません。これは有効であり、サーバーコンテキストで役立ちます。

電子メールライブラリが特定の指示に従って検証するために存在していた場合、本当に便利です - ドメイン名のみが許可されているか、localhostのような任意のホストか、有効であるべきカスタムドメインのホワイトリストがありますか？ユニコードを許可する必要がありますか？ freemailドメイン名（@ homail.comなど）の一般的なタイプミスは失敗するはずです。

さらに特定の方法でドメイン名を検証することは賢明です - hotmail.comでは現在ユニコード文字は使用できず、使用可能な文字には特定の制限があります。 PHPアプリケーションで使用されるほとんどの電子メールアドレスはおそらく100種類の異なるドメインに集中しているため、これらのドメイン名をより良い方法で検証するために使用できます。残念ながら、私が知る限り、そのようなライブラリはまだ存在しません。

Answer 5

私が見たコメントの中には私のテストと一致しないものがあったので、私はPHP 5.xで見つかった機能を指摘したいと思っていました。電子メールを最初にSANITIZEすると、不要な文字がすべて削除されます。次に、VALIDATEを実行します。私は誰かがちょうどどちらかをやりたければ2つの機能を持っています。メールが有効な場合

チェック：

function isValidEmailAddress($email = '', $check_domain = false) 
{ 
    if (empty($email)) { 
     return false; 
    } else { 
     $success = true; 
    } 

    if (!filter_var((string) $email, FILTER_VALIDATE_EMAIL)) { 
     $success = false; 
    } 
    if ($check_domain && $success) { 
     list($name, $domain) = explode('@', trim($email) . "@"); 
     if (!checkdnsrr($domain, 'MX')) { 
      $success = false; 
     } 
    } 
    return array("success" => $success, "email" => $email); 
} 

が<を削除>をUTF8など：

function sanitizeEmailAddress($email = '') { 
    if (!empty($email)) { 
     $email = filter_var(strtolower(trim($email)), FILTER_SANITIZE_EMAIL); 
    } 
    return $email; 
} 

使用例：

// test -- 
$list = array('goodÂ@bad.com', 'mikeq@google.com', 'puser@porsche.us', 'quick@us', '', '<yo@marist.edu>', 'hello@us.edu', 'rgil@yahoo.com', 'abc@2r.edu', 'one2@e3.edu', 'key@gen.us'); 

foreach($list as $email) { 

    $ret = isValidEmailAddress(sanitizeEmailAddress($email), false); 
    if ($ret['success']) { 
     echo "GOOD " . $ret['email']; 
    } else { 
     echo "BAD " .$email; 
    } 
     echo "\n"; 
    } 

結果：

GOOD good@bad.com 
GOOD mikeq@google.com 
GOOD puser@porsche.us 
BAD quick@us 
BAD 
GOOD yo@marist.edu 
GOOD hello@us.edu 
GOOD rgil@yahoo.com 
GOOD abc@2r.edu 
GOOD one2@e3.edu 
GOOD key@gen.us 

ドメインオプションを使用する場合：$ ret = isValidEmailAddress（sanitizeEmailAddress（$ email）、true）;

GOOD good@bad.com 
GOOD mikeq@google.com 
GOOD puser@porsche.us 
BAD quick@us 
BAD 
GOOD yo@marist.edu 
GOOD hello@us.edu 
GOOD rgil@yahoo.com 
BAD abc@2r.edu 
BAD one2@e3.edu 
BAD key@gen.us