PowerCMS™
[ブログ] PowerCMS 6 でのアップデートまとめ を追加しました。
[よくあるご質問] フォーム投稿の自動返信メールに連番の受付番号を付与することはできますか? を追加しました。
[ブログ] PowerCMS サポートの実績 (2022年10月) を追加しました。
[新着情報] 【オンライン】11月24日(木) ステークホルダーとの信頼関係を構築できるサイトづくりとは? ~サイトでのBCP対策から情報配信のコツを一挙公開~ を追加しました。

PowerCMS ブログ

ホーム > PowerCMS ブログ > 技術情報 > ContactForm で送信された値をメール本文に利用する方法

2015年04月21日

ContactForm で送信された値をメール本文に利用する方法

ContactForm で送信された値をメール本文に記述したいというご質問を受ける機会が多々ございますので、その方法について記事にすることにしました。

標準のフォーム投稿通知メールは下記のテンプレートです。

新しいフィードバックが '<$mt:var name="form_name"$> (<$mt:BlogName$>)' に投稿されました。以下の内容で <$mt:BlogName$> の  への投稿を受け付けました。

このフィードバックは未読です。このフィードバックは確認済です。このフィードバックはフラグ付きです。

フィードバックをみる:
<$mt:admincgipath$><$mt:adminscript$>?__mode=view&_type=feedback&id=<$mt:var name="feedback_id" encode_url="1"$>&blog_id=<$mt:BlogID$>ポストされたデータ:

IP    : <$mt:var name="feedback_remote_ip"$>
Email : <$mt:var name="feedback_email"$>

フィードバック:
--------------
<$mt:var name="field_label"$>:
<$mt:var name="field_value" format_ts="1" replace=" 00:00",""$><$mt:var name="field_value" format_ts="1"$><$mt:var name="field_value"$>
--------------
-- 
Powered by Movable Type

標準のフォーム投稿通知メールでは、MTLoop タグで field_loop 変数の値をループし、それぞれのフィールドの値を出力するように記述されているため、送信されたすべての値をメール本文に含めることができています。

しかし、

  • 一部の値は置換した上で出力したい
  • 一部の値はメール本文に出力したくない
  • 出力順を任意の順序に変更したい
  • フォーム項目としては管理していない input[type="hidden"] に入力された値を利用したい

といったニーズに対応しようとすると、field_label または、field_basename 変数の値を使って、フォーム項目ごとに分岐したり、並び順を変更するために、別の配列変数に格納し直したりと、テンプレートが煩雑になる場合があります。また、フォーム項目として管理していないものは field_loop 変数のループ内で取得することができません。

そのような場合は、下記に説明する MTVar および、MTGetVar の特殊な機能を利用することで対応します。

Movable Type および PowerCMS で任意の GET ( または POST ) パラメータの値を取得する方法

Movable Type および、PowerCMS では、テンプレートで任意の GET ( または POST ) パラメータの値を MTVar または、MTGetVar タグを使って取得することができます。

主に管理画面で利用するテンプレートで利用するテクニックとなりますが、管理画面以外の動的生成するテンプレートにて利用することができます。

記述方法は下記になります。

例: GET パラメータの foo の値を取り出す

<$MTVar name="request.foo"$>

このテクニックを利用することで、ContactForm で送信されたパラメータをメールテンプレートに記述することも可能となります。

例えば、姓と名を独立したフォーム項目としているが、メール本文では結合して表示したいというケースであれば、下記のように記述ができます。

※ フォーム項目「姓」のベースネームが last_name で、フォーム項目「名」のベースネームが first_name であると仮定

お名前: <$MTVar name="request.last_name"$> <$MTVar name="request.first_name"$> 様

この方法を使うことで、送信されたパラメータを任意の順序で、任意に加工してメール本文に記述することが容易になります。

注意事項

今回ご紹介した例は、プレーンテキストなメール本文に記述する内容であることを前提に説明をしておりますが、それ以外のケースで、ユーザーが入力した値(送信されたパラメータ)を、値の妥当性検証や無害化処理をせずに、そのまま画面上に出力するという行為は、脆弱性の発生に即つながります。

例えば、送信された値を HTML に含める場合は、&lt;&gt;&quot; など HTML で特別な意味の持つ特殊文字は無害化処理する必要がありますし、JavaScript に含める場合は、HTML で特殊な意味を持つ文字列に加え、\ や NULL 文字など、JavaScript で特別な意味を持つ特殊文字は無害化処理する必要があります。(文脈によってはそれで不十分な場合もあります)

それぞれ、<$MTVar name="request.foo" encode_html="1"$><$MTVar name="request.foo" encode_js="1"$> などの記述で、適切なエスケープを施さなければなりません。

エスケープするための記述が漏れていたり、記述はされているが、スペルミスがありモディファイアが効いていなかったりした場合は、すぐさまそれが脆弱性となります。

かつ、できれば、<MTIf test="$foo =~ /.../"> ... </MTIf> (変数 request.foo を変数 foo にコピーしている前提)といった形で、正規表現などを使い、値の妥当性検証をした上で、安全な値であることが検証された場合のみ処理する記述が無難です。

ご利用に際しては上記の注意事項について十分ご注意ください。

カテゴリー
技術情報
投稿者
taiju

Archives

Recent Entries

Categories

  • PowerCMS クラウド
  • PowerCMS 8341
  • PowerSync