我很驚訝爲了保證我的應用安全,我一直無法找到需要從郵件中刪除的字符。要從郵件中刪除哪些字符?
我有一個php應用程序,並且大部分輸入都是數字,但我添加了用戶附加消息的功能,所以我需要清理消息並去除任何可能成爲威脅的字符。
我最初的反應是,如果我沒有
$message=addslashes(preg_replace('/[^a-zA-Z0-9\-,& $%\(\)#@!\'\"?.]/','',$_POST['message']));
我會很安全的,但我一直沒能找到任何其中規定什麼字符可以是破壞性的,哪些人物將是安全的。
已經有很多關於輸入過濾的問題。只要看看這個頁面的右側。例如。 http://stackoverflow.com/questions/2305435/user-input-filtering-do-i-need-to-filter-html – 2010-03-03 18:58:59
謝謝菲利克斯,但似乎沒有任何這些問題(我看着)真的回答了這個問題'什麼是角色是一種威脅。與此同時,HTML淨化器似乎是要走的路,而我以前從來沒有聽說過。 – pedalpete 2010-03-03 19:13:41