Base de connaissances

Les spammeurs repèrent facilement les pages ayant un script de formulaire (contact ou feedback par exemple) envoyant un email. Ils vérifient ensuite la présence d'une faille: beaucoup de formulaires de contact ne vérifient pas la présence de retour de ligne dans certains champs, en particulier celui de l'email de l'expéditeur à compléter dans les formulaires.

Actions à effectuer

Nous agissons de toute façon en aval: nous filtrons les retours chariots présents dans les headers passés à la fonction mail() de PHP. Mais vous devez

• protéger vos scripts d'envoi de mail par un système de CAPTCHA ou par la mise en place d'une restriction explicite des destinataires
• lors de l'envoi de mail via la commande mail() de PHP, vous assurer que les arguments fournis ont été validés préalablement à leur utilisation. Les valeurs reçues d'un formulaire doivent être vérifiées avant utilisation par la fonction mail().
• remplacer les éventuels retours de ligne dans chacun des champs qui doivent normalement contenir un email (ce champ est souvent nommé $email, $sender ou $from):

<code>$EMAIL = str_replace("\n", "", str_replace("\r", "", $EMAIL));</code>

En savoir plus

Le spammeur exploite les scripts ressemblant à ceci:

<code>$MESSAGE = $_POST[msg];$RECIPIENT = "webmaster@votredomaine.com";$SUBJECT = "Formulaire de contact";$EMAIL = $_POST[email];// Sans cette ligne votre script est exploitable !!!!$EMAIL = str_replace("\n", "", str_replace("\r", "", $EMAIL));mail($RECIPIENT, $SUBJECT, $MESSAGE, "From: $EMAIL");</code>