Merci beaucoup les garçons.
Donc la bonne logique c'est bien de vérifier si l'email est valide, que les champs nom, prénom, profession sont renseignés et après d'appliquer les filtres, c'est bien ça ?

http://www.phpsecure.info/v2/article/MailHeadersInject.php
pas lu mais cela doit répondre à la question

Ok @rthur, je pensais utiliser isset.

Donc la bonne logique c'est de faire

Si l'email est valide
Que les champs nom, prénom, profession sont renseignés

J'applique les filtres et j'envoie, c'est bien ça ?

Peux-tu me donner un exemple d'injection ou de script qui peut être fait pour voir si ce que je mets en place est protégé ou non.

MERCI

[quote="foetus69"]Mais comment vérifie t-on en amont et avec les filtres que de l'info a bien été saisie ?[/quote]
Avec la fonction empty()

Kikoo,

Si je comprends bien dans mon traitement je dois vérifier que l'adresse email est bonne puis si c'est le cas j'applique les filtres sur chaque champ posté ?

Mais comment vérifie t-on en amont et avec les filtres que de l'info a bien été saisie ?

Merci de votre aide.

[quote="ynx"]En complément de la réponse précédente, si ton mail est au format html, ne pas oublier d'utiliser la fonction htmlspecialchars (ou htmlentities) pour éviter les failles XSS.[/quote]
En fait, le filtre FILTER_SANITIZE_STRING que je proposais supprime déjà toutes les balises et encode les caractères spéciaux donc devrait être suffisant.

Si les utilisateurs peuvent poster des balises, il existe le filtre FILTER_SANITIZE_SPECIAL_CHARS qui correspond effectivement à un htmlspecialchars() en encore + puissant

Salut,

En complément de la réponse précédente, si ton mail est au format html, ne pas oublier d'utiliser la fonction htmlspecialchars (ou htmlentities) pour éviter les failles XSS.

Bonne journée

if (!filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)) die("Adresse e-mail incorrecte");

$message = filter_var($_POST['message'], FILTER_SANITIZE_STRING);

Bonjour,

Il faut que tu filtres les données que tu reçois de ton formulaire pour être sûr de ne mettre dans le mail que ce que tu es en droit d'attendre.
PHP a une fonction dédiée à cela qui s'appelle [url=https://secure.php.net/manual/fr/function.filter-var.php]filter_var()[/url]

Tu peux faire un test que l'adresse e-mail indiqué soit correct avec le [url=https://secure.php.net/manual/fr/filter.filters.validate.php]filtre de validation[/url] FILTER_VALIDATE_EMAIL :

[php]if (!filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)) die("Adresse e-mail incorrecte");[/php]

Et tu peux nettoyer le texte à ajouter en message avec le [url=https://secure.php.net/manual/fr/filter.filters.sanitize.php]filtre de nettoyage[/url] FILTER_SANITIZE_STRING :

[php]$message = filter_var($_POST['message'], FILTER_SANITIZE_STRING);[/php]

Bonjour,

Je cherche le moyen d'envoyer un mail au format HTML via PHP mais de façon sécurisée.

J'entends par là de sécuriser ce qui est envoyé, vérifier les données etc... je ne sais pas quelle genre de menaces ou script on peut envoyer dans un formulaire de contact.

Si vous avez des informations et une solution je suis preneuse :)