3
我瞭解mysql_real_escape_string等等,但是當我只是發送電子郵件時呢?
因此,我有表單和文本框,是否有任何漏洞只需將$_POST數據直接通過電子郵件發送給用戶?我猜他們wouldnt能夠執行任何PHP ..或者他們,如果他們從一個Web地址運行它?我不確定。
A
回答
5
如果它被直接發送到電子郵件,那麼它會沒事的。如果它存儲在數據庫中以顯示在管理員頁面上,例如幫助臺等,那麼它將需要爲html輸出和mysql轉義。使用PDO然後用準備語句
- 如果:您可以使用多項功能逃跑的MySQL http://php.net/manual/en/pdo.prepare.php
- 否則,我會用: http://php.net/manual/en/mysqli.real-escape-string.php
這就是說,因爲電子郵件可以包含HTML,如果你不想接收到人們僞造的HTML格式的電子郵件,例如<blink>(這真的很煩人),那麼你可以使用htmlspecialchars():http://php.net/manual/en/function.htmlspecialchars.php
如果您擔心電子郵件中使用Javascript,那麼使用上面提到的htmlspecialchars()也可以解決這個問題。
2
問題是不信任用戶輸入。最大的問題是,當您從POST變量中設置電子郵件地址或密件抄送時。任何電子郵件地址都可以通過請求設置。
但它可能發送鏈接或其他東西在用戶的形式。爲此,您應該實施驗證碼。 bot不能將你的表單發送給任何人。
最後一個解決方案是表單中的隱藏文本字段。你可以用CSS隱藏它們。當字段不爲空時,你知道一個bot已經填滿了它們。
但我認爲它在你逃跑的POST良好VAR提供htmlspecialchars()
所以有很多的可能性,以確保一種形式。您不僅應該使用其中之一併信任用戶。
相關問題
- 1. HTML電子郵件的安全標記
- 2. 瞭解安全電子郵件
- 3. 安全的PHP電子郵件腳本
- 4. 電子郵件宏安全問題
- 5. 安全用戶電子郵件流星
- 6. 電子郵件激活安全校驗
- 7. 電子郵件驗證/確認安全
- 8. 使用電子郵件編碼器安全嗎?或者如何顯示電子郵件地址最安全?
- 9. $ _POST - 填寫電子郵件地址
- 10. 電子郵件到數據庫
- 11. 發送XML數據到電子郵件
- 12. 導入數據到mailchimp並安排電子郵件?
- 13. 根據用戶oauth電子郵件設置安全規則firebase
- 14. 使用ajax使電子郵件地址安全?
- 15. Outlook電子郵件到pdf安全提示
- 16. 安全地發送電子郵件到SMS服務
- 17. 使用$ _POST數據並創建電子郵件通知的foreach循環
- 18. PHP電子郵件驗證IBM電子郵件(全球範圍)
- 19. 安全隱藏表單數據$ _POST
- 20. 將$ _POST ['url']添加到電子郵件正文梨包?
- 21. 安全性:在url參數中發送電子郵件地址
- 22. PHP - 基於數據庫查詢電子郵件到電子郵件地址
- 23. Write Net :: IMAP電子郵件到mikel /郵件電子郵件
- 24. 無法使用webapi發送Sendgrid上的安全電子郵件
- 25. 檢索Facebook的電子郵件地址,使用彈簧安全
- 26. 使用python SMTP庫憑證發送電子郵件安全
- 27. 春季安全使用用戶名或電子郵件
- 28. 如何使任意字符串電子郵件地址安全?
- 29. 使用安全密碼通過Powershell發送電子郵件
- 30. 如何使用SMTP發送安全電子郵件
可能重複[什麼是最好的PHP輸入消毒功能?](http://stackoverflow.com/questions/3126072/what-are-the-best-php-input-sanitizing-functions) –