如何防止联系表单被机器人滥用并发送垃圾邮件

花韻仙語

发布时间：2026-01-11 12:18:10

798人浏览过

来源于php中文网

原创

如何防止联系表单被机器人滥用并发送垃圾邮件

本文介绍如何通过集成 google recaptcha 有效拦截自动化脚本对 php 联系表单的恶意提交，解决因未验证请求来源而导致的服务器端滥发邮件问题。

你当前使用的 PHP 表单处理脚本（mail() 函数）虽然结构清晰、具备基础的注入检测（如换行符过滤），但完全缺乏用户行为验证机制——这正是导致 Ionos 服务器每日向你发送大量“来自你自己的网站”的垃圾邮件的根本原因。攻击者无需访问前端页面，即可直接向该 PHP 脚本发起 HTTP POST 请求，绕过所有前端限制，批量伪造表单数据触发 mail() 发送。

单纯依赖 isInjected() 这类字符串检测已远远不够。现代垃圾邮件机器人能轻易规避简单正则匹配，且你的脚本未校验请求来源、无会话状态、无时效性控制，本质上是一个开放的邮件中继接口。

✅ 正确解决方案：在前后端协同加入 Google reCAPTCHA v3（推荐）或 v2，实现无感或轻量交互式验证。

第一步：注册 reCAPTCHA 并获取密钥

访问 Google reCAPTCHA Admin Console → 选择 reCAPTCHA v3（更友好，无用户交互）→ 注册站点，添加你的域名（如 amatoria.com, yoursite1.com, yoursite2.com）→ 获取：

Relayed AI

一款AI驱动的视频会议工具，旨在帮助团队克服远程工作、繁忙的日程安排和会议疲劳。

下载

Site key（前端使用）
Secret key（后端验证用，切勿泄露）

第二步：修改 HTML 表单（前端）

在

中添加 reCAPTCHA token 隐藏字段，并通过 JS 自动执行验证：

<!-- 在页面底部或 head 中引入 reCAPTCHA API -->
<script src="https://www.google.com/recaptcha/api.js?render=YOUR_SITE_KEY"></script>

<script>
  grecaptcha.ready(function() {
    grecaptcha.execute('YOUR_SITE_KEY', {action: 'submit'}).then(function(token) {
      document.getElementById('g-recaptcha-response').value = token;
    });
  });
</script>

<form action="send_mail.php" method="post">
  <input type="text" name="first_name" placeholder="First Name" required>
  <input type="email" name="email_address" placeholder="Email" required>
  <textarea name="comments" placeholder="Your message" required></textarea>
  <!-- 隐藏域接收 token -->
  <input type="hidden" id="g-recaptcha-response" name="g-recaptcha-response">
  <button type="submit">Send Message</button>
</form>

第三步：增强 PHP 后端验证（关键！）

在 send_mail.php 开头添加 reCAPTCHA 校验逻辑，必须在 mail() 执行前完成：

// 新增：reCAPTCHA 验证（放在所有业务逻辑之前）
$secret_key = "YOUR_SECRET_KEY"; // ← 替换为你的 Secret Key
$recaptcha_response = $_POST['g-recaptcha-response'] ?? '';
if (empty($recaptcha_response)) {
    header("Location: $error_page");
    exit;
}

// 向 Google 验证 token
$verify_url = "https://www.google.com/recaptcha/api/siteverify";
$data = [
    'secret' => $secret_key,
    'response' => $recaptcha_response
];
$options = [
    'http' => [
        'header'  => "Content-type: application/x-www-form-urlencoded\r\n",
        'method'  => 'POST',
        'content' => http_build_query($data)
    ]
];
$context = stream_context_create($options);
$result = file_get_contents($verify_url, false, $context);
$resp = json_decode($result, true);

// 若验证失败或分数过低（v3 默认阈值建议 ≥0.5），拒绝发送
if (!$resp['success'] || ($resp['score'] ?? 0) < 0.5) {
    error_log("reCAPTCHA failed: " . print_r($resp, true));
    header("Location: $error_page");
    exit;
}

⚠️ 注意事项： file_get_contents() 需确保服务器允许外网请求（Ionos 默认开启，但可检查 allow_url_fopen = On）；若禁用，请改用 cURL。永远不要跳过服务端校验——前端 token 可被篡改，仅作传输载体。 reCAPTCHA v3 返回 score 字段（0.0–1.0），0.5 是合理起点；可根据误报率动态调整。建议同时保留原有 isInjected() 检查，作为纵深防御补充。

最后：清理与加固

删除或重命名旧版无防护的 send_mail.php，避免被暴力扫描发现。

在 .htaccess 中限制该脚本仅接受 POST 请求：

<Files "send_mail.php">
    Require method POST
</Files>

定期检查服务器日志（如 access.log），筛选异常高频 POST 请求 IP 并封禁。

通过以上改造，你的联系表单将从“公开邮件接口”升级为受控通信通道——既保持用户体验流畅（v3 无感），又彻底切断机器人自动化投递路径。这才是 Ionos 等主机商无法代劳、但你必须自主实施的核心安全实践。

PHP如何对整型数组进行排序 PHP整数数组升序降序【必看】

PHP 多维数组按 groupRange 分组并汇总数值字段

PHP读取软链接文件指向哪里_PHP解析符号链接目标方法【操作】

PHP 动态解析 JSON 中以 _grant_ 开头的键值并提取时间戳

PHP怎么获取文件后缀 PHP从路径字符串提取后缀【指南】

相关专题

curl_exec

curl_exec函数是PHP cURL函数列表中的一种，它的功能是执行一个cURL会话。给大家总结了一下php curl_exec函数的一些用法实例，这个函数应该在初始化一个cURL会话并且全部的选项都被设置后被调用。他的返回值成功时返回TRUE，或者在失败时返回FALSE。

453

2023.06.14

linux常见下载安装工具

linux常见下载安装工具有APT、YUM、DNF、Snapcraft、Flatpak、AppImage、Wget、Curl等。想了解更多linux常见下载安装工具相关内容，可以阅读本专题下面的文章。

183

2023.10.30

登录token无效

登录token无效解决方法：1、检查token的有效期限，如果token已经过期，需要重新获取一个新的token；2、检查token的签名，如果签名不正确，需要重新获取一个新的token；3、检查密钥的正确性，如果密钥不正确，需要重新获取一个新的token；4、使用HTTPS协议传输token，建议使用HTTPS协议进行传输；5、使用双因素认证，双因素认证可以提高账户的安全性。

6488

2023.09.14

登录token无效怎么办

登录token无效的解决办法有检查Token是否过期、检查Token是否正确、检查Token是否被篡改、检查Token是否与用户匹配、清除缓存或Cookie、检查网络连接和服务器状态、重新登录或请求新的Token、联系技术支持或开发人员等。本专题为大家提供token相关的文章、下载、课程内容，供大家免费下载体验。

839

2023.09.14

token怎么获取

获取token值的方法：1、小程序调用“wx.login()”获取临时登录凭证code，并回传到开发者服务器；2、开发者服务器以code换取，用户唯一标识openid和会话密钥“session_key”。想了解更详细的内容，可以阅读本专题下面的文章。

1088

2023.12.21

token什么意思

token是一种用于表示用户权限、记录交易信息、支付虚拟货币的数字货币。可以用来在特定的网络上进行交易，用来购买或出售特定的虚拟货币，也可以用来支付特定的服务费用。想了解更多token什么意思的相关内容可以访问本专题下面的文章。

1786

2024.03.01

js 字符串转数组

js字符串转数组的方法：1、使用“split()”方法；2、使用“Array.from()”方法；3、使用for循环遍历；4、使用“Array.split()”方法。本专题为大家提供js字符串转数组的相关的文章、下载、课程内容，供大家免费下载体验。

658

2023.08.03

js截取字符串的方法

js截取字符串的方法有substring()方法、substr()方法、slice()方法、split()方法和slice()方法。本专题为大家提供字符串相关的文章、下载、课程内容，供大家免费下载体验。

219

2023.09.04

Golang 测试体系与代码质量保障：工程级可靠性建设

Go语言测试体系与代码质量保障聚焦于构建工程级可靠性系统。本专题深入解析Go的测试工具链（如go test）、单元测试、集成测试及端到端测试实践，结合代码覆盖率分析、静态代码扫描（如go vet）和动态分析工具，建立全链路质量监控机制。通过自动化测试框架、持续集成（CI）流水线配置及代码审查规范，实现测试用例管理、缺陷追踪与质量门禁控制，确保代码健壮性与可维护性，为高可靠性工程系统提供质量保障。

2026.02.28

热门下载

网站特效

网站源码

网站素材

前端模板