Php 使用邮件功能是否存在注入风险
嗨 我正在开发一个联系方式。我正在使用邮件功能将其发送给网站管理员 是否存在有人可能注入恶意javascript和任何其他注入攻击的风险Php 使用邮件功能是否存在注入风险,php,Php,嗨 我正在开发一个联系方式。我正在使用邮件功能将其发送给网站管理员 是否存在有人可能注入恶意javascript和任何其他注入攻击的风险 $to = (this is from config xml file) $message = $_POST['message']; mail($to ,'feedback',$message); 只有当您将内容类型设置为text/html时,如果启用(不应启用),则存在(巨大)注入风险(,取决于真正设置$to的位置) 同样正如David指出的,如果您使用H
$to = (this is from config xml file)
$message = $_POST['message'];
mail($to ,'feedback',$message);
只有当您将内容类型设置为
text/html$to同样正如David指出的,如果您使用HTML消息(可能带有),您可以对$\u POST['message']进行清理。为什么否决了此选项?我不是PHP专家,而是想知道这个答案有什么问题。@Marcel Korpel我想这是因为在这种情况下($to总是设置的)寄存器全局值不是问题。我只是指出,这是实际操作代码的一种可能性,而不是发布的伪代码。