代码之家 › 专栏 › 技术社区 › Ricket

PHP mail()函数的消息部分需要转义吗?

security php

Ricket · 技术社区 · 14 年前

我正在创建一个反馈网页。我只想获取一个用户输入的文本区域,然后用 mail

mail("me@blah.com", "Feedback!", $_POST['feedback'], "From: myself@blah.com");
/*    (to)           (subject)    (message)           (headers) */

或者我需要逃离或者消毒 $_POST['feedback'] ?

4 回复 | 直到 14 年前

Dereleased 14 年前

是的,你应该消毒它 一般做法 ,但这里不会出现太多错误,只需确保在指定的标题中:

Content-Type: text/plain

leepowers 14 年前

正如stilstanding所说-您仍然需要清理任何用户提供的数据。

我还建议使用类似PHPMailer的脚本来创建和发送电子邮件。这将确保安全地格式化消息,并使发送多部分html/文本消息等任务更加容易:

Halil Özgür 14 年前

如果你不去检查 <script> 标签之类的东西,你不能逃避。但是你最好将你的邮件编码成引用的可打印的,为了可交付性而不是安全性,最好由一个好的邮件类/函数来完成,比如 Zend_Mail

JW. 14 年前

“消毒”是一个模糊的术语。有不同类型的编码用于不同的目的。

如果你发送的是纯文本消息,我认为你不必担心它们的编码问题。PHP的mail函数应该处理所需的任何编码。

如果您发送的是HTML消息,那么您确实需要对所有HTML属性和内容进行HTML编码,而不管这些值是否来自用户。

推荐文章

Jacco · 未能格式化我的日期以在php中正确工作

1 年前

darshita_baldha · 如何在Laravel组件中传递数组变量?

1 年前

nitroflox · 在php中删除带有安全和httponly选项的cookie值得吗?

1 年前

Community wiki · 在OOP中,依赖项是否应该包含对其父项的引用?

1 年前

Arno van Oordt · 存储在MonogoDB中时将类实例转换为字符串

1 年前

Jaime Montoya · 访问器魔术方法在PHP 8中不起作用[重复]

1 年前

jay ram · 如何在URL核心php中从API获取JSON?

1 年前

Endricho Folabessy · 我在Laravel 10中的一对一关系有什么错误

1 年前

pernifloss · 如何在使用电子邮件时保持Outlook邮件未读trhough pop3

1 年前

Ishwarya A · php电子表格在浏览器中显示多张excel

1 年前