Kontrola e-mailové adresy
Školení, která pořádám 
- 29.9.2010 Návrh a používání MySQL databáze
- 30.9.2010 Úvod do PHP
- 1.10.2010 Programování v PHP 5
- 4.10.2010 JavaScript a AJAX
- 5.10.2010 Knihovna jQuery a AJAX prakticky
- 6.10.2010 Výkonnost webových aplikací
- 7.10.2010 Konfigurace a výkonnost MySQL
- 8.10.2010 Bezpečnost PHP aplikací
Článek vyšel na serveru Root.cz.
Často po uživateli chceme, aby zadal svou e-mailovou adresu. Tuto adresu lze kontrolovat podle různých kritérií. Pro účely tohoto článku bude za e-mailovou adresu považován řetězec uživatel@doména, který obvykle chceme po uživateli zadat, a ne mnohem komplexnější řetězec, který lze zadat do hlaviček From, To a dalších.
Syntaktická kontrola
V první řadě tu máme syntaktickou kontrolu. Na webu najdete spoustu pokusů, jak tuto kontrolu provádět, já jsem se podílel např. na této, dodatečně jsem v ní ale stejně našel chybu. Proto uvádím řešení, o kterém si aktuálně myslím, že je správné:
<?php /** Kontrola e-mailové adresy * @param string e-mailová adresa * @return bool syntaktická správnost adresy * @copyright Jakub Vrána, http://php.vrana.cz/ */ function check_email($email) { $atom = '[-a-z0-9!#$%&\'*+/=?^_`{|}~]'; // znaky tvořící uživatelské jméno $domain = '[a-z0-9]([-a-z0-9]{0,61}[a-z0-9])'; // jedna komponenta domény return eregi("^$atom+(\\.$atom+)*@($domain?\\.)+$domain\$", $email); } ?>
Ověření, zda adresa přijímá zprávy
Dále je možné kontrolovat, zda uvedená doména přijímá e-maily, což zjistí třeba funkce checkdnsrr. Podle RFC 2821 sice doména může poštu přijímat i bez MX záznamu, ale nebývá to zvykem.
Dále je možné server oťukat a zjistit, zda e-mail přijme. To je asi nejdůkladnější automatické řešení (opraveno):
<?php /** Odeslání příkazů SMTP serveru * @param resource otevřený socket k SMTP serveru * @param array příkazy k odeslání * @return bool false v případě, že některý příkaz nevrátí 250 */ function smtp_commands($fp, $commands) { foreach ($commands as $command) { fwrite($fp, "$command\r\n"); $s = fgets($fp); if (substr($s, 0, 3) != '250') { return false; } while ($s[3] == '-') { $s = fgets($fp); } } return true; } /** Ověření funkčnosti e-mailu * @param string adresa příjemce * @param string adresa odesílatele * @return bool na adresu lze doručit zpráva, null pokud nejde ověřit * @copyright Jakub Vrána, http://php.vrana.cz/ */ function try_email($email, $from) { if (!function_exists('getmxrr')) { return null; } $domain = preg_replace('~.*@~', '', $email); getmxrr($domain, $mxs); if (!in_array($domain, $mxs)) { $mxs[] = $domain; } $commands = array( "HELO " . preg_replace('~.*@~', '', $from), "MAIL FROM: <$from>", "RCPT TO: <$email>", ); $return = null; foreach ($mxs as $mx) { $fp = @fsockopen($mx, 25); if ($fp) { $s = fgets($fp); while ($s[3] == '-') { $s = fgets($fp); } if (substr($s, 0, 3) == '220') { $return = smtp_commands($fp, $commands); } fwrite($fp, "QUIT\r\n"); fgets($fp); fclose($fp); if (isset($return)) { return $return; } } } return false; } ?>
Toto řešení ale pochopitelně nebude fungovat u serverů aplikujících greylisting.
Ověření, zda má uživatel adresu pod kontrolou
Pokud zároveň chceme ověřit, že má uživatel adresu pod kontrolou, musíme mu poslat zprávu:
<?php /** Vygenerování náhodného řetězce * @param int délka vráceného řetězce * @param int použité znaky: <=10 číslice, <=36 +malá písmena, <=62 +velká písmena * @return string náhodný řetězec * @copyright Jakub Vrána, http://php.vrana.cz/ */ function rand_chars($count = 8, $chars = 36) { $return = ""; for ($i=0; $i < $count; $i++) { $rand = rand(0, $chars - 1); $return .= chr($rand + ($rand < 10 ? ord('0') : ($rand < 36 ? ord('a') - 10 : ord('A') - 36))); } return $return; } $rand_chars = rand_chars(); if (mysql_query("INSERT INTO emaily (email, rand_chars) VALUES ('" . mysql_real_escape_string($_POST["email"]) . "', '$rand_chars')")) { $zprava = "Pokud máte zájem o služby serveru $_SERVER[SERVER_NAME], tak prosím navštivte tento odkaz: http://$_SERVER[SERVER_NAME]/email_overit.php?id=" . mysql_insert_id() . "&rand_chars=$rand_chars Pokud o služby serveru zájem nemáte, tak tuto zprávu prosím ignorujte."; $hlavicky = "MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit"; mail($_POST["email"], "Overeni adresy", $zprava, $hlavicky); } // email_overit.php: mysql_query("UPDATE emaily SET overeno = 1 WHERE id = " . intval($_GET["id"]) . " AND rand_chars = '" . mysql_real_escape_string($_GET["rand_chars"]) . "'"); ?>
Závěr
Záleží jen na vás, jak moc důkladně chcete kontrolu e-mailové adresy provádět. Nejčastěji se používají krajní varianty – buď pouhá syntaktická kontrola, nebo ověření, zda má uživatel adresu pod kontrolou.
Diskuse
Rick:
To vsechno je kontrola jedne adresy? Wow, jak vam mohli dat ridicak...zjoova:
A jak vypada vase kratsi a elegantnejsi reseni?Priznavam ze jsem zatim vsude videl jen podobne obludy.
Jakub:
Dělám PHP docela dlouho a jako špatné řešení se mi to nezdá. Jestli jsou tady takoví chytráci (takové mám nejraději) tak nám prosím předvěďte lepší kód. Rád se na něj podívám. TOhle přesně znám. Velká huba, žádné činy...Zdendys:
Programuji PHP taky již nějaký rok a bohužel se při dokonalé kontrole nevyhnete ledajakým zákoutím a proto se script neůměrně zvětšuje.Nepruďte a navrhněte kratši dokonalé řešení a budeme vá vzívat do programátorského nebe :-)
Fanda:
Naopak, oceňuji energii vloženou do tohoto skriptu a hlavně vůli podělit se. Díky moc za skript (proti kódu nemám námitek i když nepoužívám tak důkladnou kontrolu). Ještě jednou díky. A chytráci, až dozrají do téhle úrovně programování, potom pochopí...dustcart:
Me se to naopak velmi libi. Nahodou na slozitost problemu je to velmi kratke a elegantni reseni, takze to vetsinou kritizuji jen blbecci, kteri tomu nerozumi.Martin:
V druhej verzii mi try_email($email, $from) vracia 1 aj pri nezmyselnej adrese. Moze to byt nastavenim serveru alebo ...?Dave:
v overeni mailu je potreba jeste dodat kontrolu pripony. pokud by tam nekdo napsal adresat@domena.xxxxxxxxxx, tak to projde. dal bych tam overeni tak na max 4-5 mist. to by mohlo stacit.Shuster:
<?phpif (!eregi('^[a-z0-9_]{1}[a-z0-9\-_]*(\.[a-z0-9\-_]+)*@[a-z0-9]{1}[a-z0-9\-_]*(\.[a-z0-9\-_]+)*\.[a-z]{2,4}$', $email))
{
echo "nespravny format adresy";
}
?>
Jakub Vrána:
Zapomínáte na doménu .museum. V budoucnu můžou přijít i delší domény, v RFC to nijak omezené není.
Kepi:
Tak tak, .museum, .travel zatím jen 6 znaků, ale uvažuje se i o víc a hlavně jsou tu už náznaky, že bude možné registrovat si TLD za určitý poplatek, pak určitě vzniknou i více než 10 znakové koncovky.
Jakub Hejda:
Vynikají cí článek! Je vidět že v PHP opravdu "myslíte".
francesco3:
Mám také jednu poznámku. Dovolil jsem si použít část kódu pro syntaktickou kontrolu v praxi a zjistil j6sem, že lze mít v emailové adrese tečku ( http://www.pilsen-ride.net/index.php?p=profil&jmeno=fast ) i bezprostředně před zavináčem. Což je situace, kterou fce check_email vyhodnotí negativně. Jakub Vrána:
RFC 2822 to nicméně jasně zakazuje.
Web Designer:
Vrelá vďaka za podelenie sa o zaujímavé metódy overenia, zaujala ma časť "Ověření, zda adresa přijímá zprávy".
Nutné však podotknúť, že na zrejme ostrieľaného programátora je tu viac nedostatkov než sa patrí, a práve takéto navádzajú novým, snáď nádejných programátorov na zlé cesty.
málo spomeniem:
- Zbytočne nedokončené overovanie formátu (meno@domena.* ???). už bolo spomenuté. (aj keď sa mi ani nepáči dovolenie )
- Neprehľadné a spomalujúce vytváranie stringov v dvojitých úvodzovkách:
<?php
# pomaľšie a neprehľadné:
$str = "nieco sa $deje tam
dole v udoli";
# odporúčam:
$str = 'nieco sa '.$deje;
$str .= 'dole v udoli';
?>
- Neošetrené vstupy $_POST, $_GET. Chápem alebo dúfam, že tento "ukážkový kód" má iba ilustračný charakter, tým však zlý edukačný dopad.
Takže správne pred takýmto použitím funkcie mail určite najprv overiť vstup, nehovoriac o SQL príkazoch. Minimálne takto:
<?php
if (check_email($email = $_POST['email'])) {
// ...
}
mysql_query('UPDATE emaily SET overeno = 1 WHERE id = '.intval($_GET[id]).' AND rand_chars = "'.mysql_real_escape_string($_GET[rand_chars]).'"');
?>
Jakub Vrána:
Délka top-level domény není nijak omezena. Nyní máme doménu .museum, v budoucnu mohou přijít i delší.Zápis "nieco sa $deje tam" je subjektivně podstatně přehlednější než 'nieco sa '.$deje (navíc bez mezer). Vámi uvedené dva příklady navíc nejsou ekvivalentní, v druhém případě chybí "\n" a to už jde přehlednost do háje úplně.
V patičce je jasně uvedeno, že skripty předpokládají zapnutou direktivu magic_quotes_gpc=On, jsou tedy zcela bezpečné.
Jakub Vrána:
Kód jsem předělal na magic_quotes_gpc = Off a zmínil jsem to v patičce.
Web Designer:
... píšm trochu neskoro, ešte aj ja som tam spravil pár preklepov ako to čítam.To čo sa mi nepáči, sú povolené znaky podľa spomenutej normy. Nevidí sa mi to veľmi užitočné (ani bezpečné) a praktické ju dodržať striktne. Niečo ako navrhol komentátor Shuster sa mi zdá skoro dostačujúce, a určite bezpečnejšie. Ale to je iba taký môj názor na základe nočných pocitov.
Namiesto <?php $_GET[id]; ?> je určite slušnejšie <?php $_GET['id']; ?>, veď id predsa nie je žiadna definovaná konštanta, všakže.
Jakub Vrána:
Dodržovat normu je naopak nutné. Jak by mohlo být něco nebezpečného na dodržování normy? Nebo neužitečného a nepraktického? Můžete si třeba říct, že rovnítko v e-mailové adrese obvykle není. Ale podle normy tam být může a některé konference ho skutečně používají.<?php $_GET[id]; ?> je samozřejmě chybný zápis, <?php "$_GET[id]"; ?> je ale něco úplně jiného. Když už jste si to nepřečetl v manuálu, tak si to alespoň vyzkoušejte.
Vojtech R:
Reqular Expression Library, konkrétně:http://regexlib.com/DisplayPatterns.aspx?…&categoryid=1&p=1
gogulux:
Kontrola, jestli ma uzivatel nad mailem kontrolu by mohla byt i poslani nahodneho hesla pro prihlaseni, s tim ze si ho uzivatel po prihlaseni zmeni.b022d:
Nebo prosté, léta známé, odesílání tzv. aktivace účtu. Pokud to ale chci použít k jiným účelům nebo nechci otravovat uživatele se zbyečnými kontrolami, podobnému monstru se asi nevyhnu, bohužel. A tohle je navíc ještě poměrně elegantní monstrum...Jan Suchánek:
Tak jsem využil vaší funkce a je bezva jen bych doplnil, šlo by ještě upravit před kontrolou $email tak aby i blbě zadaný byl opravený?např. jmeno . prijmeni@ domena.cz
Proč o tom píš? Napadají Vás i další chyby? Mě třeba že bych na email mohl použít funkci která ho převede na ascii. Jen nevím třeba co když někdo zadá "Jméno Příjmení"<jmeno.prijmeni@domena.cz> existují ještě další varianty jak lidi mohou napsat svoují emailovu adresu?
Ofi:
Mě by zajímalo jak byste udělali to kdyby měl uživatel pouze den na ověření emailu (tzn. bud docasna data v MySQL nebo nejaky skript ktery se sposti v presnou dobu kazdy den a cisti db od zaznamu starsich nez den) - jde to nejak? a jak moc by to bylo praktické? Jakub Vrána:
Do tabulky by se ukládalo datum registrace a skript by to pravidelně promazával. Omezit to na jeden den mi ale praktické nepřijde.
Ofi:
no já se ptal na ten script který by to pravidelně promazával - ale už jsem to našel :) pro ty které by to zajímalo tak je to v mySQL (5.1) příkaz CREATE EVENT. Jakub Vrána:
Obvykle se to řeší cronem, ale CREATE EVENT je samozřejmě lepší volba (pokud je k dispozici).
Prdlořeznictví Krkovička, n. p.:
S verzí PHP 5.2 přibyla i možnost využití filterů:<?php
function check_email($email){
return filter_var($email, FILTER_VALIDATE_EMAIL)!=false;
}
?>
Prdlořeznictví Krkovička, n. p.:
popřípadě bez toho !=false protože "", "0" nebo 0 nemůžou být validní e-mailové adresy. Jakub Vrána:
Aby se to rozlišovalo, tak by tam stejně muselo být !==.
Jakub Vrána:
Jen pozor na to, že FILTER_VALIDATE_EMAIL uznává i lokální domény. Takže třeba info@example validací projde. A pak mám taky za to, že starší verze kontrolovaly celý řetězec, který jde umístit do hlavičky (takže třeba i včetně jména), ale to už zdá se neplatí.
Michal:
V ofic. PHP manuálu je, že fce eregi v PHP 5.3.0 již nepůjde a v 6.0.0 bude odstraněna. Nemáte tedy k dispozici nějakou jinou, podobnou formu kontroly emailové adresy, jelikož tato funkce se mi velmi líbí ? Jakub Vrána:
Funkce eregi("$s", $email) se dá v tomto případě nahradit za preg_match("($s)i", $email).
Miloš Němec:
Nebo lze použít case sensitivní ereg a doplnit regulární výrazy pro uživatelské jméno a doménu o velká písmena.<?php
$atom = '[-a-zA-Z0-9!#$%&\'*+/=?^_`{|}~]'; // znaky tvořící uživatelské jméno
$domain = '[a-zA-Z0-9]([-a-zA-Z0-9]{0,61}[a-zA-Z0-9])'; // jedna komponenta domény
return ereg("^$atom+(\\.$atom+)*@($domain?\\.)+$domain\$", $email);
?>
Viktor:
Toto neni moje vlastni reseni. Jen jsem ho nekde drive nasel a nejakou dobu k plne spokojenosti vyuzivam. Je to vicemene synonymum k te prvni variante. Myslis, ze zbytecne slozite nebo je na nem neco zasadne spatne?<?php
function ZkontrolujEmail($email) {
// First, we check that there's one @ symbol, and that the lengths are right
if (!ereg("^[^@]{1,64}@[^@]{1,255}$", $email))
return false; // Email invalid because wrong number of characters in one section, or wrong number of @ symbols.
// Split it into sections to make life easier
$email_array = explode("@", $email);
$local_array = explode(".", $email_array[0]);
for ($i = 0; $i < sizeof($local_array); $i++)
if (!ereg("^(([A-Za-z0-9!#$%&'*+/=?^_`{|}~-][A-Za-z0-9!#$%&'*+/=?^_`{|}~\.-]{0,63})|(\"[^(\\|\")]{0,62}\"))$", $local_array[$i]))
return false;
if (!ereg("^\[?[0-9\.]+\]?$", $email_array[1])) { // Check if domain is IP. If not, it should be valid domain name
$domain_array = explode(".", $email_array[1]);
if (sizeof($domain_array) < 2) return false; // Not enough parts to domain
for ($i = 0; $i < sizeof($domain_array); $i++)
if (!ereg("^(([A-Za-z0-9][A-Za-z0-9-]{0,61}[A-Za-z0-9])|([A-Za-z0-9]+))$", $domain_array[$i])) return false;
}
return true;
}
?>
Jakub Vrána:
Je to zbytečně složité.
Jakub Laušman:
Zdravim,jen jsem ti chtěl poděkovat za rychlé a elegantní řešení mého problému s ověřováním formátu uvedeného emailu...
Tvůj kód mi ušetřil fůrmu času ;-)
Ahoj Kuba
Petr Konůpek:
Díky Jakube za schůdné řešení tohoto problému. Já vyvýjím aplikace ve Windowsovém prostředí a tam bohužel do verze 5.3 PHP nepodporuje funkci getmxrr. Na PHP.net jsem ale našel v komentářích alternativu, jak si tam tuto funkci dodat sám. Zde přeposílám:<?php
// getmxrr() support for Windows by HM2K <php [spat] hm2k.org>
function win_getmxrr($hostname, &$mxhosts, &$mxweight=false) {
if (strtoupper(substr(PHP_OS, 0, 3)) != 'WIN') return;
if (!is_array ($mxhosts) ) $mxhosts = array();
if (empty($hostname)) return;
$exec='nslookup -type=MX '.escapeshellarg($hostname);
@exec($exec, $output);
if (empty($output)) return;
$i=-1;
foreach ($output as $line) {
$i++;
if (preg_match("/^$hostname\tMX preference = ([0-9]+), mail exchanger = (.+)$/i", $line, $parts)) {
$mxweight[$i] = trim($parts[1]);
$mxhosts[$i] = trim($parts[2]);
}
if (preg_match('/responsible mail addr = (.+)$/i', $line, $parts)) {
$mxweight[$i] = $i;
$mxhosts[$i] = trim($parts[1]);
}
}
return ($i!=-1);
}
?>
Neznám funkci getmxrr() na tak dokonalé úrovni, abych byl schopen posoudit, zda-li jí tato dokáže plně nahradit, ale pokud ano, pak by to Widlákům usnadnilo život...
IvoSn:
Chtělo by to výraz upravit kvůli novým vymoženostem:- ereg depreceated
- domény s diakritikou
Místo eregi můžeme použít mb_eregi, ale jak upravit ten regulár?
Jaroslav Kavan:
zdravim v php se vůbec nevyznám,ale na jednom serveru se nám vysktl problém.Jedná se oto že na stránce zadáte jméno účtu a email a tím se posílá nové heslo na email. Vím že je to programování v php a chtěl bys se zeptat jestly by jste sem někdo nemohl ukázat jak by to mnělo vypadat aby to fungovalo.Protože když jsem chtěl zaslat nové heslo z té stránky napsalo mi to že heslo bylo odesláno ale mail mi nepřišel.
Honza:
A nedal by se obejít ten graylisting pokud by se to samé provedlo dvakrát po sobě?Michal Bláha:
Ahoj,kvůli zrušení podpory POSIX výrazů v PHP 5.3 si dovoluji přidat verzi pro preg rozšířenou o kontrolu existenci domény.
<?php
public function checkMailAddres($addres) {
// preg pattern for user name
// http://tools.ietf.org/html/rfc2822#section-3.2.4
$atext = "[a-z0-9\!\#\$\%\&\'\*\+\-\/\=\?\^\_\`\{\|\}\~]";
$atom = "$atext+(\.$atext+)*";
// preg pattern for domain
// http://tools.ietf.org/html/rfc1034#section-3.5
$dtext = "[a-z0-9]";
$dpart = "$dtext+(-$dtext+)*";
$domain = "$dpart+(\.$dpart+)+";
if(preg_match("/^$atom@$domain$/i", $addres)) {
list($username, $host)=split('@', $addres);
if(checkdnsrr($host,'MX')) {
return TRUE;
}
}
return FALSE;
}
?>
