¿Cómo desinfectar la entrada del usuario en PHP antes de enviar?

Dado que no está construyendo una consulta SQL ni nada aquí, la única validación relevante que puedo ver para esas entradas es una validación de correo electrónico para $_POST["correo electrónico"], y tal vez un filtro alfanumérico en los otros campos si realmente desea limitar el alcance de lo que puede contener el mensaje.

Para filtrar la dirección de correo electrónico, simplemente use filter_var :

$email = filter_var($email, FILTER_SANITIZE_EMAIL);

Según la sugerencia de Frank Farmer, también puede filtrar nuevas líneas en el asunto del correo electrónico:

$subject = str_replace(array("\r","\n"),array(" "," "),$subject);

Como otros han señalado, filter_var es genial. Si no está disponible, agrégalo a tu toolchest.

La variable $headers es particularmente mala en cuanto a seguridad. Se puede añadir y hacer que se añadan encabezados falsos. Este post llamado Inyección de correo electrónico lo discute bastante bien.

filter_var is genial, pero otra forma de asegurar que algo es una dirección de correo electrónico y no algo malo es usar una función isMail(). Aquí hay uno:

function isEmail($email) {
    return preg_match('|^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]{2,})+$|i', $email);
};

Así que para usar esto, podría hacer:

if (isset($_POST['email']) && isEmail($_POST['email'])) {
    $email = $_POST['email'] ;
} else {
    // you could halt execution here, set $email to a default email address
    // display an error, redirect, or some combination here,
}

En términos de validación manual, limitar la longitud utilizando substr(), corriendo strip_tags() y de lo contrario limitar lo que se puede poner en.

Necesita eliminar cualquier nueva línea de entrada proporcionada por los usuarios en hea headers, que se pasa a mail () (email email en su caso)! Ver Inyección de correo electrónico.

PHP debería encargarse de desinfectar $to y subject subject, pero hay versiones de PHP con errores (Afectados son PHP 4 MOPB-34-2007).

Puede usar el código de la respuesta de artlung para validar el correo electrónico..

Uso este tipo de código para evitar la inyección de encabezado ..

// define some mail() header's parts and commonly used spam code to filter using preg_match
$match = "/(from\:|to\:|bcc\:|cc\:|content\-type\:|mime\-version\:|subject\:|x\-mailer\:|reply\-to\:|\%0a|\%0b)/i";

// check if any field's value containing the one or more of the code above
if (preg_match($match, $name) || preg_match( $match, $message) || preg_match( $match, $email)) {

// I use ajax, so I call the string below and send it to js file to check whether the email is failed to send or not
echo "failed";

// If you are not using ajax, then you can redirect it with php header function i.e: header("Location: http://example.com/anypage/");

// stop the script before it reach or executing the mail function
die();

}

El filtrado de encabezado de mail() anterior es demasiado estricto, ya que algunos usuarios pueden estar usando las cadenas filtradas en su mensaje sin ninguna intención de secuestrar su formulario de correo electrónico, así que redirígalo a una página que explique qué tipo de cadenas no están permitidas en el formulario o explíquelo en su página de formulario.