[SPIP Zone] [Spip-zone-commit] r29311 - /_core_/tests/filtres/email_valide.php

cerdic · Juin 21, 2009, 2:17

Yep, super.
Juste un détail :
le principe des fonctions de test est que si tous les tests sont valides, la fonction ne doit afficher que 'OK', et rien d'autre.
Il faudrait donc que toutes les explications, forts utiles, ne soient affichées qu'en cas de résultat incorrect
Dans ce cas tu peux afficher tout ce que tu veux...

Cédric

Le 21 juin 09 à 10:39, xdjuj@apsulis.com a écrit :

Author: xdjuj@apsulis.com
Date: Sun Jun 21 10:39:11 2009
New Revision: 29311

Log:
Est-ce que la fonction actuelle de SPIP filtre correctement les adresses mails compte tenu d'un usage sur Internet ?

Added:
_core_/tests/filtres/email_valide.php

Added: _core_/tests/filtres/email_valide.php

--- _core_/tests/filtres/email_valide.php (added)
+++ _core_/tests/filtres/email_valide.php Sun Jun 21 10:39:11 2009
@@ -0,0 +1,168 @@
+<?php
+
+ $test = 'email_valide';
+ require '../test.inc';
+ include_spip('inc/filtres');
+?>
+
+ Il existe une différence entre la définition générale (RFC 822) et l'usage réel qui est fait des adresses de courriel.
+
+ Les registar et hébergeurs principaux ne respectent d'ailleurs pas cette définition alors même que ce sont eux qui permettent à la majorité des gens de définir leurs adresses mails et qui bien souvent servent de serveur SMTP. (Il ne m'est pas possible actuellement de tester d'autres serveurs SMTP).
+
+ Selon Dreamhost :
+ <ul>
+ <li>Un courriel commence par une lettre, un chiffre, un tiret, un tiret bas, un plus ou un &,</li>
+ <li>Un courriel peut contenir des caractères alphanum, des points, des tirets, des tirets bas, des plus, des &.</li>
+ </ul>
+ L'adresse &-_+.spip17&-_+.@domaine.com est donc valide.
+
+ Selon OVH :
+ <ul>
+ <li>Un courriel commence par une lettre, un chiffre, un tiret ou un tiret bas,</li>
+ <li>Un courriel peut contenir des caractères alphanum, des points, des tirets ou des tirets bas.</li>
+ </ul>
+ L'adresse &-_+.spip17&-_+.@domaine.com n'est donc pas valide et même rejetée par le serveur SMTP d'OVH. L'adresse -spip17_.@domaine.com est quant à elle validée.
+
+ De plus, il convient de faire le distingo entre un usage que je pense classique et majoritaire de SPIP : Internet, et un usage limité à une utilisation locale. Peut être que SPIP devrait avoir 2 regexp différentes pour ces 2 usages, deux fonctions ou 1 argument supplémentaire à l'actuelle.
+ Une utilisation locale permet des noms de domaines variés, et sans extension.
+
+ Les noms de domaines publics (qui, je pense, sont majoritairement utilisés pour SPIP) quant à eux respectent des règles plus strictes :
+ <ul>
+ <li>Un nom de domaine commence par une lettre ou un chiffre,</li>
+ <li>Un nom de domaine peut contenir des caractères alphanumériques, des tirets ou des points (cas des sous domaines),</li>
+ <li>Une extension de domaine public contient au moins 2 lettres, au plus 6. ( http://www.iana.org/domains/root/db/index.html )</li>
+ </ul>
+
+ SPIP, de part son respect à la norme RFC 822 permet donc aujourd'hui l'usage d'adresses mails qui ne sont clairement pas valides dans notre utilisation quotidienne, que je pense majoritaire, de l'outil SPIP. Il est actuellement ainsi possible de valider les adresses :
+ <ul>
+ <li>Jun 20 21:29:32 <cerdic>"Par exemple, l'adresse complètement farfelue: #+^-`&%_=|/|_?=!§{}$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$@mail.com est, suivant la norme, une adresse parfaitement valide."</li>
+ <li>utilisateur@domaine.f</li>
+ <li>utilisateur@domaine.frfrfrfrfrfr</li>
+ <li>d@d</li>
+ </ul>
+ Qui à mon sens ne devraient pas l'être.
+
+ Se pose donc peut être le cas des extensions de domaines arabes ou qui me seraient inconnus (et courants) de plus de 6 caractères, mais il me semble que les dommages collatéraux causés par l'utilisation d'une RegExp non respectueuse des standards mais beaucoup moins permissive (appliquée à un usage courant) sont moins importants que ceux de la RegExp actuelle bien trop permissive utilisée par SPIP. Je descendrais même personnellement à 4 pour l'extension, tant pis pour .travel et .museum... °_°
+
+ 
+ <h1>Fonction email_valide() de SPIP</h1>
+
+ Ces mails sont valides, et bien reconnus.
+
+ <?php
+ $emails_valides = array(
+ 'utilisateur@domaine.com',
+ 'uti-lisa.teur@domai-ne.fr',
+ '&-_+.spip17&-_+.@domaine.com'
+ );
+ echo '<ul>';
+ foreach($emails_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ Ce mail est valide selon la RFC822 (mais à mon sens ne devrait pas l'être), et rejeté par SPIP
+ <?php
+ $emails_non_valides_mais_valides = array(
+ '#+^-`&%_=|/|_?=!Â§{}$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$@mail.com'
+ );
+ echo '<ul style="font-weight:bold;">';
+ foreach($emails_non_valides_mais_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+
+ 
+ Ces mails sont valides, mais à mon sens devraient être rejetés dans un usage classique :
+ <?php
+ $emails_non_valides_mais_valides = array(
+ 'utilisateur@domaine.f',
+ 'utilisateur@domaine.frfrfrfrfrfr',
+ 'd@d'
+ );
+ echo '<ul style="font-weight:bold;">';
+ foreach($emails_non_valides_mais_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ Ces mails sont non valides, et filtrés correctement.
+ <?php
+ $emails_non_valides_rejetes = array(
+ 'utilisateurdomaine.f',
+ 'utilis/@domaine',
+ 'utilisateur@',
+ '@domaine.fr'
+ );
+ echo '<ul>';
+ foreach($emails_non_valides_rejetes as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ <h1>Suggestion d'amélioration</h1>
+
+ Expression régulière proposée (respectant Dreamhost, plus permissif que OVH et excluant les extensions de domaine de plus de 4 caractères) :
+ ^([A-Za-z0-9]|&|+|_|-]){1}([A-Za-z0-9]|&|+|_|-|\.)*@[A-Za-z0-9]([A-Za-z0-9]|-|\.){2,}\.[A-Za-z]{2,4}$
+
+ <?php
+ function email_public_valide($adresses) {
+ // Si c'est un spammeur autant arreter tout de suite
+ if (preg_match(",[\n\r].*(MIME|multipart|Content-),i", $adresses)) {
+ spip_log("Tentative d'injection de mail : $adresses");
+ return false;
+ }
+
+ foreach (explode(',', $adresses) as $v) {
+ // nettoyer certains formats
+ // "Marie Toto <Marie@toto.com>"
+ $adresse = trim(preg_replace(",^[^<>\"]*<([^<>\"]+)>$,i", "\\1", $v));
+ // RFC 822 non respectÃ©e
+ if (!preg_match('/^([A-Za-z0-9]|\+|&|_|-|]){1}([A-Za-z0-9]|\+|&|_|-|\.)*@[A-Za-z0-9]([A-Za-z0-9]|-|\.){2,}\.[A-Za-z]{2,4}$/', $adresse))
+ return false;
+ }
+ return $adresse;
+ }
+ ?>
+
+ Ces mails sont valides, et bien reconnus.
+
+ <?php
+ $emails_valides = array(
+ 'utilisateur@domaine.com',
+ 'uti-lisa.teur@domai-ne.fr',
+ '&-_+.spip17&-_+.@domaine.com',
+ '-@domaine.fr',
+ );
+ echo '<ul>';
+ foreach($emails_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_public_valide() -> '.email_public_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ Ces mails sont non valides, et filtrés correctement.
+ <?php
+ $emails_non_valides_rejetes = array(
+ '#+^-`&%_=|/|_?=!Â§{}$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$@mail.com',
+ 'utilisateur@domaine.frfrfrfrfrfr',
+ 'd@d',
+ 'utilisateurdomaine.f',
+ 'utilis/@domaine',
+ 'utilisateur@',
+ '@domaine.fr'
+ );
+ echo '<ul>';
+ foreach($emails_non_valides_rejetes as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_public_valide() -> '.email_public_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
\ No newline at end of file

_______________________________________________
Spip-zone-commit@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone-commit

Julien_Lambert1 · Juin 21, 2009, 2:21

Oué j'avais noté ça

Que si un output "autre" était présent même avant, le test renvoyait failed.

Mais d'un autre côté, je ne savais pas si le test devait se porter sur "l'échec de SPIP selon MON critère" ou sur la réussite de la regexp que je propose (toujours selon MON critère), vu qu'en fait... Il faut savoir ce que l'on veut

Alors du coup j'ai essayé de faire exhaustif avec avantages/inconvénients/théorie générale

J'attends que d'autres se manifestent sur "la bonne pratique (= compromis)" à adopter

Le 21 juin 09 à 16:17, cedric.morin@yterium.com a écrit :

Yep, super.
Juste un détail :
le principe des fonctions de test est que si tous les tests sont valides, la fonction ne doit afficher que 'OK', et rien d'autre.
Il faudrait donc que toutes les explications, forts utiles, ne soient affichées qu'en cas de résultat incorrect
Dans ce cas tu peux afficher tout ce que tu veux...

Cédric

Le 21 juin 09 à 10:39, xdjuj@apsulis.com a écrit :

Author: xdjuj@apsulis.com
Date: Sun Jun 21 10:39:11 2009
New Revision: 29311

Log:
Est-ce que la fonction actuelle de SPIP filtre correctement les adresses mails compte tenu d'un usage sur Internet ?

Added:
_core_/tests/filtres/email_valide.php

Added: _core_/tests/filtres/email_valide.php

--- _core_/tests/filtres/email_valide.php (added)
+++ _core_/tests/filtres/email_valide.php Sun Jun 21 10:39:11 2009
@@ -0,0 +1,168 @@
+<?php
+
+ $test = 'email_valide';
+ require '../test.inc';
+ include_spip('inc/filtres');
+?>
+
+ Il existe une différence entre la définition générale (RFC 822) et l'usage réel qui est fait des adresses de courriel.
+
+ Les registar et hébergeurs principaux ne respectent d'ailleurs pas cette définition alors même que ce sont eux qui permettent à la majorité des gens de définir leurs adresses mails et qui bien souvent servent de serveur SMTP. (Il ne m'est pas possible actuellement de tester d'autres serveurs SMTP).
+
+ Selon Dreamhost :
+ <ul>
+ <li>Un courriel commence par une lettre, un chiffre, un tiret, un tiret bas, un plus ou un &,</li>
+ <li>Un courriel peut contenir des caractères alphanum, des points, des tirets, des tirets bas, des plus, des &.</li>
+ </ul>
+ L'adresse &-_+.spip17&-_+.@domaine.com est donc valide.
+
+ Selon OVH :
+ <ul>
+ <li>Un courriel commence par une lettre, un chiffre, un tiret ou un tiret bas,</li>
+ <li>Un courriel peut contenir des caractères alphanum, des points, des tirets ou des tirets bas.</li>
+ </ul>
+ L'adresse &-_+.spip17&-_+.@domaine.com n'est donc pas valide et même rejetée par le serveur SMTP d'OVH. L'adresse -spip17_.@domaine.com est quant à elle validée.
+
+ De plus, il convient de faire le distingo entre un usage que je pense classique et majoritaire de SPIP : Internet, et un usage limité à une utilisation locale. Peut être que SPIP devrait avoir 2 regexp différentes pour ces 2 usages, deux fonctions ou 1 argument supplémentaire à l'actuelle.
+ Une utilisation locale permet des noms de domaines variés, et sans extension.
+
+ Les noms de domaines publics (qui, je pense, sont majoritairement utilisés pour SPIP) quant à eux respectent des règles plus strictes :
+ <ul>
+ <li>Un nom de domaine commence par une lettre ou un chiffre,</li>
+ <li>Un nom de domaine peut contenir des caractères alphanumériques, des tirets ou des points (cas des sous domaines),</li>
+ <li>Une extension de domaine public contient au moins 2 lettres, au plus 6. ( http://www.iana.org/domains/root/db/index.html )</li>
+ </ul>
+
+ SPIP, de part son respect à la norme RFC 822 permet donc aujourd'hui l'usage d'adresses mails qui ne sont clairement pas valides dans notre utilisation quotidienne, que je pense majoritaire, de l'outil SPIP. Il est actuellement ainsi possible de valider les adresses :
+ <ul>
+ <li>Jun 20 21:29:32 <cerdic>"Par exemple, l'adresse complètement farfelue: #+^-`&%_=|/|_?=!§{}$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$@mail.com est, suivant la norme, une adresse parfaitement valide."</li>
+ <li>utilisateur@domaine.f</li>
+ <li>utilisateur@domaine.frfrfrfrfrfr</li>
+ <li>d@d</li>
+ </ul>
+ Qui à mon sens ne devraient pas l'être.
+
+ Se pose donc peut être le cas des extensions de domaines arabes ou qui me seraient inconnus (et courants) de plus de 6 caractères, mais il me semble que les dommages collatéraux causés par l'utilisation d'une RegExp non respectueuse des standards mais beaucoup moins permissive (appliquée à un usage courant) sont moins importants que ceux de la RegExp actuelle bien trop permissive utilisée par SPIP. Je descendrais même personnellement à 4 pour l'extension, tant pis pour .travel et .museum... °_°
+
+ 
+ <h1>Fonction email_valide() de SPIP</h1>
+
+ Ces mails sont valides, et bien reconnus.
+
+ <?php
+ $emails_valides = array(
+ 'utilisateur@domaine.com',
+ 'uti-lisa.teur@domai-ne.fr',
+ '&-_+.spip17&-_+.@domaine.com'
+ );
+ echo '<ul>';
+ foreach($emails_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ Ce mail est valide selon la RFC822 (mais à mon sens ne devrait pas l'être), et rejeté par SPIP
+ <?php
+ $emails_non_valides_mais_valides = array(
+ '#+^-`&%_=|/|_?=!Â§{}$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$@mail.com'
+ );
+ echo '<ul style="font-weight:bold;">';
+ foreach($emails_non_valides_mais_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+
+ 
+ Ces mails sont valides, mais à mon sens devraient être rejetés dans un usage classique :
+ <?php
+ $emails_non_valides_mais_valides = array(
+ 'utilisateur@domaine.f',
+ 'utilisateur@domaine.frfrfrfrfrfr',
+ 'd@d'
+ );
+ echo '<ul style="font-weight:bold;">';
+ foreach($emails_non_valides_mais_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ Ces mails sont non valides, et filtrés correctement.
+ <?php
+ $emails_non_valides_rejetes = array(
+ 'utilisateurdomaine.f',
+ 'utilis/@domaine',
+ 'utilisateur@',
+ '@domaine.fr'
+ );
+ echo '<ul>';
+ foreach($emails_non_valides_rejetes as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ <h1>Suggestion d'amélioration</h1>
+
+ Expression régulière proposée (respectant Dreamhost, plus permissif que OVH et excluant les extensions de domaine de plus de 4 caractères) :
+ ^([A-Za-z0-9]|&|+|_|-]){1}([A-Za-z0-9]|&|+|_|-|\.)*@[A-Za-z0-9]([A-Za-z0-9]|-|\.){2,}\.[A-Za-z]{2,4}$
+
+ <?php
+ function email_public_valide($adresses) {
+ // Si c'est un spammeur autant arreter tout de suite
+ if (preg_match(",[\n\r].*(MIME|multipart|Content-),i", $adresses)) {
+ spip_log("Tentative d'injection de mail : $adresses");
+ return false;
+ }
+
+ foreach (explode(',', $adresses) as $v) {
+ // nettoyer certains formats
+ // "Marie Toto <Marie@toto.com>"
+ $adresse = trim(preg_replace(",^[^<>\"]*<([^<>\"]+)>$,i", "\\1", $v));
+ // RFC 822 non respectÃ©e
+ if (!preg_match('/^([A-Za-z0-9]|\+|&|_|-|]){1}([A-Za-z0-9]|\+|&|_|-|\.)*@[A-Za-z0-9]([A-Za-z0-9]|-|\.){2,}\.[A-Za-z]{2,4}$/', $adresse))
+ return false;
+ }
+ return $adresse;
+ }
+ ?>
+
+ Ces mails sont valides, et bien reconnus.
+
+ <?php
+ $emails_valides = array(
+ 'utilisateur@domaine.com',
+ 'uti-lisa.teur@domai-ne.fr',
+ '&-_+.spip17&-_+.@domaine.com',
+ '-@domaine.fr',
+ );
+ echo '<ul>';
+ foreach($emails_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_public_valide() -> '.email_public_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ Ces mails sont non valides, et filtrés correctement.
+ <?php
+ $emails_non_valides_rejetes = array(
+ '#+^-`&%_=|/|_?=!Â§{}$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$@mail.com',
+ 'utilisateur@domaine.frfrfrfrfrfr',
+ 'd@d',
+ 'utilisateurdomaine.f',
+ 'utilis/@domaine',
+ 'utilisateur@',
+ '@domaine.fr'
+ );
+ echo '<ul>';
+ foreach($emails_non_valides_rejetes as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_public_valide() -> '.email_public_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
\ No newline at end of file

_______________________________________________
Spip-zone-commit@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone-commit

cerdic · Juin 21, 2009, 5:58

Moi j'aurais tendance à dire qu'en tant qu'outil diffusé largement, SPIP doit respecter la RFC.
Sinon, si demain un utilisateur se pointe avec un email plus tordu que la moyenne et se fait jeter, ce sera un bug de SPIP.

Par contre je conçois qu'on puisse vouloir un vérification plus stricte (a commencer par une vérification de l'existence du domaine, par exemple).
Dans ce cas, il me semble que le bon compromis serait de garder la fonction du core telle quelle, mais de permettre une personnalisation, par un charger_fonction, ou un pipeline. Ca permettra de faire un plugin 'email plus stricts'...

Cédric

Le 21 juin 09 à 16:21, XDjuj a écrit :

Oué j'avais noté ça

Que si un output "autre" était présent même avant, le test renvoyait failed.

Mais d'un autre côté, je ne savais pas si le test devait se porter sur "l'échec de SPIP selon MON critère" ou sur la réussite de la regexp que je propose (toujours selon MON critère), vu qu'en fait... Il faut savoir ce que l'on veut

Alors du coup j'ai essayé de faire exhaustif avec avantages/inconvénients/théorie générale

J'attends que d'autres se manifestent sur "la bonne pratique (= compromis)" à adopter

Le 21 juin 09 à 16:17, cedric.morin@yterium.com a écrit :

Yep, super.
Juste un détail :
le principe des fonctions de test est que si tous les tests sont valides, la fonction ne doit afficher que 'OK', et rien d'autre.
Il faudrait donc que toutes les explications, forts utiles, ne soient affichées qu'en cas de résultat incorrect
Dans ce cas tu peux afficher tout ce que tu veux...

Cédric

Le 21 juin 09 à 10:39, xdjuj@apsulis.com a écrit :

Author: xdjuj@apsulis.com
Date: Sun Jun 21 10:39:11 2009
New Revision: 29311

Log:
Est-ce que la fonction actuelle de SPIP filtre correctement les adresses mails compte tenu d'un usage sur Internet ?

Added:
_core_/tests/filtres/email_valide.php

Added: _core_/tests/filtres/email_valide.php

--- _core_/tests/filtres/email_valide.php (added)
+++ _core_/tests/filtres/email_valide.php Sun Jun 21 10:39:11 2009
@@ -0,0 +1,168 @@
+<?php
+
+ $test = 'email_valide';
+ require '../test.inc';
+ include_spip('inc/filtres');
+?>
+
+ Il existe une différence entre la définition générale (RFC 822) et l'usage réel qui est fait des adresses de courriel.
+
+ Les registar et hébergeurs principaux ne respectent d'ailleurs pas cette définition alors même que ce sont eux qui permettent à la majorité des gens de définir leurs adresses mails et qui bien souvent servent de serveur SMTP. (Il ne m'est pas possible actuellement de tester d'autres serveurs SMTP).
+
+ Selon Dreamhost :
+ <ul>
+ <li>Un courriel commence par une lettre, un chiffre, un tiret, un tiret bas, un plus ou un &,</li>
+ <li>Un courriel peut contenir des caractères alphanum, des points, des tirets, des tirets bas, des plus, des &.</li>
+ </ul>
+ L'adresse &-_+.spip17&-_+.@domaine.com est donc valide.
+
+ Selon OVH :
+ <ul>
+ <li>Un courriel commence par une lettre, un chiffre, un tiret ou un tiret bas,</li>
+ <li>Un courriel peut contenir des caractères alphanum, des points, des tirets ou des tirets bas.</li>
+ </ul>
+ L'adresse &-_+.spip17&-_+.@domaine.com n'est donc pas valide et même rejetée par le serveur SMTP d'OVH. L'adresse -spip17_.@domaine.com est quant à elle validée.
+
+ De plus, il convient de faire le distingo entre un usage que je pense classique et majoritaire de SPIP : Internet, et un usage limité à une utilisation locale. Peut être que SPIP devrait avoir 2 regexp différentes pour ces 2 usages, deux fonctions ou 1 argument supplémentaire à l'actuelle.
+ Une utilisation locale permet des noms de domaines variés, et sans extension.
+
+ Les noms de domaines publics (qui, je pense, sont majoritairement utilisés pour SPIP) quant à eux respectent des règles plus strictes :
+ <ul>
+ <li>Un nom de domaine commence par une lettre ou un chiffre,</li>
+ <li>Un nom de domaine peut contenir des caractères alphanumériques, des tirets ou des points (cas des sous domaines),</li>
+ <li>Une extension de domaine public contient au moins 2 lettres, au plus 6. ( http://www.iana.org/domains/root/db/index.html )</li>
+ </ul>
+
+ SPIP, de part son respect à la norme RFC 822 permet donc aujourd'hui l'usage d'adresses mails qui ne sont clairement pas valides dans notre utilisation quotidienne, que je pense majoritaire, de l'outil SPIP. Il est actuellement ainsi possible de valider les adresses :
+ <ul>
+ <li>Jun 20 21:29:32 <cerdic>"Par exemple, l'adresse complètement farfelue: #+^-`&%_=|/|_?=!§{}$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$@mail.com est, suivant la norme, une adresse parfaitement valide."</li>
+ <li>utilisateur@domaine.f</li>
+ <li>utilisateur@domaine.frfrfrfrfrfr</li>
+ <li>d@d</li>
+ </ul>
+ Qui à mon sens ne devraient pas l'être.
+
+ Se pose donc peut être le cas des extensions de domaines arabes ou qui me seraient inconnus (et courants) de plus de 6 caractères, mais il me semble que les dommages collatéraux causés par l'utilisation d'une RegExp non respectueuse des standards mais beaucoup moins permissive (appliquée à un usage courant) sont moins importants que ceux de la RegExp actuelle bien trop permissive utilisée par SPIP. Je descendrais même personnellement à 4 pour l'extension, tant pis pour .travel et .museum... °_°
+
+ 
+ <h1>Fonction email_valide() de SPIP</h1>
+
+ Ces mails sont valides, et bien reconnus.
+
+ <?php
+ $emails_valides = array(
+ 'utilisateur@domaine.com',
+ 'uti-lisa.teur@domai-ne.fr',
+ '&-_+.spip17&-_+.@domaine.com'
+ );
+ echo '<ul>';
+ foreach($emails_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ Ce mail est valide selon la RFC822 (mais à mon sens ne devrait pas l'être), et rejeté par SPIP
+ <?php
+ $emails_non_valides_mais_valides = array(
+ '#+^-`&%_=|/|_?=!Â§{}$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$@mail.com'
+ );
+ echo '<ul style="font-weight:bold;">';
+ foreach($emails_non_valides_mais_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+
+ 
+ Ces mails sont valides, mais à mon sens devraient être rejetés dans un usage classique :
+ <?php
+ $emails_non_valides_mais_valides = array(
+ 'utilisateur@domaine.f',
+ 'utilisateur@domaine.frfrfrfrfrfr',
+ 'd@d'
+ );
+ echo '<ul style="font-weight:bold;">';
+ foreach($emails_non_valides_mais_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ Ces mails sont non valides, et filtrés correctement.
+ <?php
+ $emails_non_valides_rejetes = array(
+ 'utilisateurdomaine.f',
+ 'utilis/@domaine',
+ 'utilisateur@',
+ '@domaine.fr'
+ );
+ echo '<ul>';
+ foreach($emails_non_valides_rejetes as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ <h1>Suggestion d'amélioration</h1>
+
+ Expression régulière proposée (respectant Dreamhost, plus permissif que OVH et excluant les extensions de domaine de plus de 4 caractères) :
+ ^([A-Za-z0-9]|&|+|_|-]){1}([A-Za-z0-9]|&|+|_|-|\.)*@[A-Za-z0-9]([A-Za-z0-9]|-|\.){2,}\.[A-Za-z]{2,4}$
+
+ <?php
+ function email_public_valide($adresses) {
+ // Si c'est un spammeur autant arreter tout de suite
+ if (preg_match(",[\n\r].*(MIME|multipart|Content-),i", $adresses)) {
+ spip_log("Tentative d'injection de mail : $adresses");
+ return false;
+ }
+
+ foreach (explode(',', $adresses) as $v) {
+ // nettoyer certains formats
+ // "Marie Toto <Marie@toto.com>"
+ $adresse = trim(preg_replace(",^[^<>\"]*<([^<>\"]+)>$,i", "\\1", $v));
+ // RFC 822 non respectÃ©e
+ if (!preg_match('/^([A-Za-z0-9]|\+|&|_|-|]){1}([A-Za-z0-9]|\+|&|_|-|\.)*@[A-Za-z0-9]([A-Za-z0-9]|-|\.){2,}\.[A-Za-z]{2,4}$/', $adresse))
+ return false;
+ }
+ return $adresse;
+ }
+ ?>
+
+ Ces mails sont valides, et bien reconnus.
+
+ <?php
+ $emails_valides = array(
+ 'utilisateur@domaine.com',
+ 'uti-lisa.teur@domai-ne.fr',
+ '&-_+.spip17&-_+.@domaine.com',
+ '-@domaine.fr',
+ );
+ echo '<ul>';
+ foreach($emails_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_public_valide() -> '.email_public_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ Ces mails sont non valides, et filtrés correctement.
+ <?php
+ $emails_non_valides_rejetes = array(
+ '#+^-`&%_=|/|_?=!Â§{}$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$@mail.com',
+ 'utilisateur@domaine.frfrfrfrfrfr',
+ 'd@d',
+ 'utilisateurdomaine.f',
+ 'utilis/@domaine',
+ 'utilisateur@',
+ '@domaine.fr'
+ );
+ echo '<ul>';
+ foreach($emails_non_valides_rejetes as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_public_valide() -> '.email_public_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
\ No newline at end of file

_______________________________________________
Spip-zone-commit@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone-commit

_______________________________________________
spip-zone@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone

Julien_Lambert1 · Juin 21, 2009, 6:15

Le 21 juin 09 à 19:58, cedric.morin@yterium.com a écrit :

Moi j'aurais tendance à dire qu'en tant qu'outil diffusé largement, SPIP doit respecter la RFC.

Alors il faut quand même revoir la RegExp parce que l'exemple "tordu" que tu m'as donné hier est filtré. SPIP ne respecte donc pas complètement... :\

Sinon, si demain un utilisateur se pointe avec un email plus tordu que la moyenne et se fait jeter, ce sera un bug de SPIP.

Moi j'aurais tendance à considérer que ça serait une "limitation volontaire" de spip (et non un bug), car il y a de très très très très grande chance qu'un cowboy utilisant des adresses si farfelues serait son propre hébergeur (vu que les hébergeurs classiques ne proposent pas ces fantaisies), ça lui donnerait matière à râler, mais il aurait donc moyen de contourner : utiliser une autre de ses adresses.
Je pense que pour un mec exotique qui aurait une adresse de ce type, on filtre des tonnes et des tonnes d'adresses bidons. Je pense perso que le ratio est à considérer
OVH le fait bien, et de manière très stricte. Je testerais chez Free et d'autres dès que je serais rentré en France.

Par contre je conçois qu'on puisse vouloir un vérification plus stricte (a commencer par une vérification de l'existence du domaine, par exemple).
Dans ce cas, il me semble que le bon compromis serait de
garder la fonction du core telle quelle,

Corrigée pour correspondre au mieux aux RFC alors :
http://www.linuxjournal.com/article/9585

mais de permettre une personnalisation, par un charger_fonction, ou un pipeline. Ca permettra de faire un plugin 'email plus stricts'...

Je dis "oui" mais je visualise pas encore l'opération Mais c'est sûrement LA bonne méthode !

Cédric

Le 21 juin 09 à 16:21, XDjuj a écrit :

Oué j'avais noté ça

Que si un output "autre" était présent même avant, le test renvoyait failed.

Mais d'un autre côté, je ne savais pas si le test devait se porter sur "l'échec de SPIP selon MON critère" ou sur la réussite de la regexp que je propose (toujours selon MON critère), vu qu'en fait... Il faut savoir ce que l'on veut

Alors du coup j'ai essayé de faire exhaustif avec avantages/inconvénients/théorie générale

J'attends que d'autres se manifestent sur "la bonne pratique (= compromis)" à adopter

Le 21 juin 09 à 16:17, cedric.morin@yterium.com a écrit :

Yep, super.
Juste un détail :
le principe des fonctions de test est que si tous les tests sont valides, la fonction ne doit afficher que 'OK', et rien d'autre.
Il faudrait donc que toutes les explications, forts utiles, ne soient affichées qu'en cas de résultat incorrect
Dans ce cas tu peux afficher tout ce que tu veux...

Cédric

Le 21 juin 09 à 10:39, xdjuj@apsulis.com a écrit :

Author: xdjuj@apsulis.com
Date: Sun Jun 21 10:39:11 2009
New Revision: 29311

Log:
Est-ce que la fonction actuelle de SPIP filtre correctement les adresses mails compte tenu d'un usage sur Internet ?

Added:
_core_/tests/filtres/email_valide.php

Added: _core_/tests/filtres/email_valide.php

--- _core_/tests/filtres/email_valide.php (added)
+++ _core_/tests/filtres/email_valide.php Sun Jun 21 10:39:11 2009
@@ -0,0 +1,168 @@
+<?php
+
+ $test = 'email_valide';
+ require '../test.inc';
+ include_spip('inc/filtres');
+?>
+
+ Il existe une différence entre la définition générale (RFC 822) et l'usage réel qui est fait des adresses de courriel.
+
+ Les registar et hébergeurs principaux ne respectent d'ailleurs pas cette définition alors même que ce sont eux qui permettent à la majorité des gens de définir leurs adresses mails et qui bien souvent servent de serveur SMTP. (Il ne m'est pas possible actuellement de tester d'autres serveurs SMTP).
+
+ Selon Dreamhost :
+ <ul>
+ <li>Un courriel commence par une lettre, un chiffre, un tiret, un tiret bas, un plus ou un &,</li>
+ <li>Un courriel peut contenir des caractères alphanum, des points, des tirets, des tirets bas, des plus, des &.</li>
+ </ul>
+ L'adresse &-_+.spip17&-_+.@domaine.com est donc valide.
+
+ Selon OVH :
+ <ul>
+ <li>Un courriel commence par une lettre, un chiffre, un tiret ou un tiret bas,</li>
+ <li>Un courriel peut contenir des caractères alphanum, des points, des tirets ou des tirets bas.</li>
+ </ul>
+ L'adresse &-_+.spip17&-_+.@domaine.com n'est donc pas valide et même rejetée par le serveur SMTP d'OVH. L'adresse -spip17_.@domaine.com est quant à elle validée.
+
+ De plus, il convient de faire le distingo entre un usage que je pense classique et majoritaire de SPIP : Internet, et un usage limité à une utilisation locale. Peut être que SPIP devrait avoir 2 regexp différentes pour ces 2 usages, deux fonctions ou 1 argument supplémentaire à l'actuelle.
+ Une utilisation locale permet des noms de domaines variés, et sans extension.
+
+ Les noms de domaines publics (qui, je pense, sont majoritairement utilisés pour SPIP) quant à eux respectent des règles plus strictes :
+ <ul>
+ <li>Un nom de domaine commence par une lettre ou un chiffre,</li>
+ <li>Un nom de domaine peut contenir des caractères alphanumériques, des tirets ou des points (cas des sous domaines),</li>
+ <li>Une extension de domaine public contient au moins 2 lettres, au plus 6. ( http://www.iana.org/domains/root/db/index.html )</li>
+ </ul>
+
+ SPIP, de part son respect à la norme RFC 822 permet donc aujourd'hui l'usage d'adresses mails qui ne sont clairement pas valides dans notre utilisation quotidienne, que je pense majoritaire, de l'outil SPIP. Il est actuellement ainsi possible de valider les adresses :
+ <ul>
+ <li>Jun 20 21:29:32 <cerdic>"Par exemple, l'adresse complètement farfelue: #+^-`&%_=|/|_?=!§{}$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$@mail.com est, suivant la norme, une adresse parfaitement valide."</li>
+ <li>utilisateur@domaine.f</li>
+ <li>utilisateur@domaine.frfrfrfrfrfr</li>
+ <li>d@d</li>
+ </ul>
+ Qui à mon sens ne devraient pas l'être.
+
+ Se pose donc peut être le cas des extensions de domaines arabes ou qui me seraient inconnus (et courants) de plus de 6 caractères, mais il me semble que les dommages collatéraux causés par l'utilisation d'une RegExp non respectueuse des standards mais beaucoup moins permissive (appliquée à un usage courant) sont moins importants que ceux de la RegExp actuelle bien trop permissive utilisée par SPIP. Je descendrais même personnellement à 4 pour l'extension, tant pis pour .travel et .museum... °_°
+
+ 
+ <h1>Fonction email_valide() de SPIP</h1>
+
+ Ces mails sont valides, et bien reconnus.
+
+ <?php
+ $emails_valides = array(
+ 'utilisateur@domaine.com',
+ 'uti-lisa.teur@domai-ne.fr',
+ '&-_+.spip17&-_+.@domaine.com'
+ );
+ echo '<ul>';
+ foreach($emails_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ Ce mail est valide selon la RFC822 (mais à mon sens ne devrait pas l'être), et rejeté par SPIP
+ <?php
+ $emails_non_valides_mais_valides = array(
+ '#+^-`&%_=|/|_?=!Â§{}$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$@mail.com'
+ );
+ echo '<ul style="font-weight:bold;">';
+ foreach($emails_non_valides_mais_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+
+ 
+ Ces mails sont valides, mais à mon sens devraient être rejetés dans un usage classique :
+ <?php
+ $emails_non_valides_mais_valides = array(
+ 'utilisateur@domaine.f',
+ 'utilisateur@domaine.frfrfrfrfrfr',
+ 'd@d'
+ );
+ echo '<ul style="font-weight:bold;">';
+ foreach($emails_non_valides_mais_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ Ces mails sont non valides, et filtrés correctement.
+ <?php
+ $emails_non_valides_rejetes = array(
+ 'utilisateurdomaine.f',
+ 'utilis/@domaine',
+ 'utilisateur@',
+ '@domaine.fr'
+ );
+ echo '<ul>';
+ foreach($emails_non_valides_rejetes as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_valide() -> '.email_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ <h1>Suggestion d'amélioration</h1>
+
+ Expression régulière proposée (respectant Dreamhost, plus permissif que OVH et excluant les extensions de domaine de plus de 4 caractères) :
+ ^([A-Za-z0-9]|&|+|_|-]){1}([A-Za-z0-9]|&|+|_|-|\.)*@[A-Za-z0-9]([A-Za-z0-9]|-|\.){2,}\.[A-Za-z]{2,4}$
+
+ <?php
+ function email_public_valide($adresses) {
+ // Si c'est un spammeur autant arreter tout de suite
+ if (preg_match(",[\n\r].*(MIME|multipart|Content-),i", $adresses)) {
+ spip_log("Tentative d'injection de mail : $adresses");
+ return false;
+ }
+
+ foreach (explode(',', $adresses) as $v) {
+ // nettoyer certains formats
+ // "Marie Toto <Marie@toto.com>"
+ $adresse = trim(preg_replace(",^[^<>\"]*<([^<>\"]+)>$,i", "\\1", $v));
+ // RFC 822 non respectÃ©e
+ if (!preg_match('/^([A-Za-z0-9]|\+|&|_|-|]){1}([A-Za-z0-9]|\+|&|_|-|\.)*@[A-Za-z0-9]([A-Za-z0-9]|-|\.){2,}\.[A-Za-z]{2,4}$/', $adresse))
+ return false;
+ }
+ return $adresse;
+ }
+ ?>
+
+ Ces mails sont valides, et bien reconnus.
+
+ <?php
+ $emails_valides = array(
+ 'utilisateur@domaine.com',
+ 'uti-lisa.teur@domai-ne.fr',
+ '&-_+.spip17&-_+.@domaine.com',
+ '-@domaine.fr',
+ );
+ echo '<ul>';
+ foreach($emails_valides as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_public_valide() -> '.email_public_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
+ 
+ Ces mails sont non valides, et filtrés correctement.
+ <?php
+ $emails_non_valides_rejetes = array(
+ '#+^-`&%_=|/|_?=!Â§{}$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$@mail.com',
+ 'utilisateur@domaine.frfrfrfrfrfr',
+ 'd@d',
+ 'utilisateurdomaine.f',
+ 'utilis/@domaine',
+ 'utilisateur@',
+ '@domaine.fr'
+ );
+ echo '<ul>';
+ foreach($emails_non_valides_rejetes as $tests => $email)
+ echo '<li>'.$email.' -> passés par email_public_valide() -> '.email_public_valide($email).'</li>';
+ echo '</ul>';
+ ?>
+
\ No newline at end of file

_______________________________________________
Spip-zone-commit@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone-commit

_______________________________________________
spip-zone@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone