【发布时间】:2012-02-10 11:04:06
【问题描述】:
我正在用 PHP 创建一个简单的反馈表单:用户只需输入一些关于我的站点的 cmets/建议等,然后单击“发送反馈”。然后他输入的文本作为邮件正文直接发送给我(即我自己设置收件人地址,用户输入仅在邮件正文中使用)。
现在我不确定,如果我只是将未过滤的文本插入电子邮件正文,可能会发生什么样的攻击。
我目前正在使用 Joomla 平台(即我正在使用 Joomla 的 JMail 功能),但我认为问题更笼统:有很多关于 SQL 注入和跨站点脚本的信息(其中是等效的攻击向量),但我没有找到太多关于电子邮件的信息。
请注意,在我的例子中,文本仅每封电子邮件发送,所以我不关心 SQL 注入或跨站点脚本(电子邮件以纯文本形式发送)。那么我应该应用什么样的过滤呢?
谢谢 马丁
【问题讨论】:
-
这取决于:您发送纯文本电子邮件还是 html 电子邮件?
标签: php security email sanitization