嗨 我正在开发一个联系表单。我正在使用邮件功能将其发送给网站管理员。是否有使用邮件功能注射的风险
有人可能会注入恶意JavaScript和任何其他注入攻击的风险吗?
$to = (this is from config xml file)
$message = $_POST['message'];
mail($to ,'feedback',$message);
嗨 我正在开发一个联系表单。我正在使用邮件功能将其发送给网站管理员。是否有使用邮件功能注射的风险
有人可能会注入恶意JavaScript和任何其他注入攻击的风险吗?
$to = (this is from config xml file)
$message = $_POST['message'];
mail($to ,'feedback',$message);
只有当你设置的内容类型text/html
如果registers globals是(这不应该是)有注射(不同的地方$to
是真正建立)一个(巨大)的风险。
同样如David指出的,如果您使用HTML邮件(可能与htmlspecialchars),则可以清理$ _POST ['message']。
这是为什么被拒绝?我不是PHP专家,而是想知道这个答案有什么问题。 – 2010-12-21 14:31:43
好点我忘了你不得不那样做LOL – Ageis 2010-12-21 13:41:42