cómo evitar e-mail injection

moquehua · #1 (**permalink**) 02/02/2010, 18:30

Hola, buenas tardes/noches.
Estoy reforzando la seguridad de mis formularios de contacto, ya me ocupe de las validaciones por javascript y ahora quiero evitar el spam (sin captcha).
Encontre esta función en muchos sitios, incluído foros del web, pero no se cómo usarlo.

Código PHP:

  <?php

  function ValidarDatos($campo){

    //Array con las posibles cabeceras a utilizar por un spammer

    $badHeads = array("Content-Type:",

                                 "MIME-Version:",

                                 "Content-Transfer-Encoding:",

                                 "Return-path:",

                                 "Subject:",

                                 "From:",

                                 "Envelope-to:",

                                 "To:",

                                 "bcc:",

                                 "cc:");

 
    //Comprobamos que entre los datos no se encuentre alguna de

    //las cadenas del array. Si se encuentra alguna cadena se

    //dirige a una página de Forbidden

    foreach($badHeads as $valor){

      if(strpos(strtolower($campo), strtolower($valor)) !== false){

        header("HTTP/1.0 403 Forbidden");

        exit;

      }

    }

  }

 
  //Ejemplo de llamadas a la funcion

  ValidarDatos($_POST['email']);

  ValidarDatos($_POST['asunto']);

  ValidarDatos($_POST['mensaje']);

?>

mi formulario es

Código PHP:

  <?php

if($Submit){

 
@$Nombre = $_POST['Nombre'];

@$Email = $_POST['Email'];

@$Consulta = $_POST['Consulta'];

 
//************************************************************************/

$header = "From:[email protected]>\n";

$header .= "To: ".$receptor."\n";

$header .= "X-Mailer: PHP4\n"; //mailer

$header .= "MIME-Version: 1.0\n";

$header .= "Reply-To: ".$Email."\n";

$header .= "Content-type: text/html; charset=iso-8859-1\n";

//************************************************************************/

 
 
$cuerpo = "todos los datos";

 
mail($receptor,'asunto',$cuerpo,$header);

}

?>

cómo inserto la función ValidarDatos dentro de mi formulario?
muchas gracias
Germán

jamesjara · #2 (**permalink**) 02/02/2010, 18:38

Ahi mismo tiene un ejemplo //Ejemplo de llamadas a la funcion ValidarDatos($_POST['email']);
ValidarDatos( VARIABLE );

Código PHP:

  @$Nombre = ValidarDatos( $_POST['Nombre']);

@$Email = ValidarDatos($_POST['Email']);

@$Consulta = ValidarDatos($_POST['Consulta']);

Porcierto y receptor?

moquehua · #3 (**permalink**) 02/02/2010, 20:47

Hola, gracias por la respuesta.
Al receptor lo tomo de una base de datos de acuerdo al identificador del formulario.
No puse el formulario completo porque no venía al caso.
Muchas gracias nuevamente
Germán

//EDITO//
Después de probar el php así

Código PHP:

  <?php

  function ValidarDatos($campo){

    $badHeads = array("Content-Type:",

                                 "MIME-Version:",

                                 "Content-Transfer-Encoding:",

                                 "Return-path:",

                                 "Subject:",

                                 "From:",

                                 "Envelope-to:",

                                 "To:",

                                 "bcc:",

                                 "cc:");

 
    foreach($badHeads as $valor){

      if(strpos(strtolower($campo), strtolower($valor)) !== false){

        header("HTTP/1.0 403 Forbidden");

        exit;

      }

    }

  } 

@$Nombre = ValidarDatos($_POST['Nombre']);

@$Email = ValidarDatos($_POST['Email']);

@$Consulta = ValidarDatos($_POST['Consulta']); 

 
 
//************************************************************************/

$header = "From:[email protected]>\n";

$header .= "To: ".$receptor."\n";

$header .= "X-Mailer: PHP4\n"; //mailer

$header .= "MIME-Version: 1.0\n";

$header .= "Reply-To: ".$Email."\n";

$header .= "Content-type: text/html; charset=iso-8859-1\n";

//************************************************************************/

 
 
$cuerpo = "todos los datos";

 
mail($receptor,'asunto',$cuerpo,$header);

}

?>

todos los campos que tienen ValidarDatos llegan vacios, el mail se sigue enviando pero sin nada.
Gracias
Germán

pateketrueke · #4 (**permalink**) 02/02/2010, 23:33

~~amigos, por favor repasen el manual de PHP ... ;)~~

la función ValidarDatos() no tiene return en ninguna parte, por ende se elimina el valor de las variables al utilizar dicha función en cada asignación...

así que hay dos panoramas: se agrega return para devolver el valor en la función, o simplemente se valida primero... pero sin re-asignar variable alguna...

suerte!!

Abriuschi · #5 (**permalink**) 24/08/2010, 07:14

Yo no usaria esa funcion así.
Lo que haces es Capturar la variables del formulario y mandarla a una varible.

Código:

$Nombre = $_POST['Nombre'];
$Email = $_POST['Email'];
$Consulta = $_POST['Consulta'];

Despues usas la función por cada variable que quieras chequear.

Código:

  
ValidarDatos($Nombre);
ValidarDatos($Email);
ValidarDatos($Consulta);

Y abajo envias el mail:

Código:

mail($Email,$Nombre,$Consulta,$header);

Si la función encuentra algo que no le gusta redirige la página a un forbidden.
Si no encuentra solo envia el mail.

Saludos.