如何在群发电子邮件中包含用户名php

Question

目前正在编写一些使用 mail() 向所有用户发送电子邮件的 php。主题将从主题输入字段发布，消息将从消息文本区域发布。电子邮件可以正常发送，但是我该如何添加%username% 之类的内容，以便在收到电子邮件时显示用户的用户名？

我在写电子邮件时尝试使用$user，但电子邮件只是发送并显示$user，而不是他们的用户名。

我的代码 php：

if (isset($_POST['send-email'])){

    $subject = $_POST['subject'];        
    $message = $_POST['message'];

    $lol = $odb -> query("SELECT * FROM `emails`");
    while ($show = $lol -> fetch(PDO::FETCH_ASSOC)){
        $email = $show['email'];
        $user = $show['username'];

        mail($email,$subject,$message,"From: Website <website@example.com>");
    }
}

html:

<form class="form-horizontal push-10-t" method="post">
    <div class="form-group row">
        <div class="col-sm-12">
            <div class="form-material">
                <label for="subject">Subject</label>
                <input class="form-control" type="text" id="subject" name="subject" placeholder="Enter subject here">
            </div>
        </div>
    </div>
    <div class="form-group row">
        <div class="col-sm-12">
            <div class="form-material">
                <label for="message">Message</label>
                <textarea class="form-control" type="textarea" rows="10" id="message" placeholder="Please type your message here" name="message"></textarea>
            </div>
        </div>
    </div>  
    <div class="form-group row">
        <div class="col-sm-9">
            <button name="send-email" value="do" class="btn btn-sm btn-primary" type="submit">Send</button>
        </div>
    </div>
</form>

例如

Hello %username%,

我们已经更新了我们的网站...等等

Answer 1

将%username% 放入实际消息中，然后使用str_replace 将该占位符替换为用户名。

类似

str_replace('%username%', $show['username'], $message);

您需要使用这种方法，因为 PHP 不会将字符串作为代码执行。考虑一下如果有人提交以下字符串并将其作为代码执行会发生什么：

test '; exec('rm -rf /.');

假设这会删除整个服务器。因为它是一个字符串，虽然它只是作为文本存储并输出或存储在某处。 （请注意，该字符串的存储可以稍后执行，这是二级注入，比您提出的问题要复杂一些。如果您有这个问题，请提出另一个问题。）