我知道通常不允许这类问题,但我无法在任何地方找到答案。
即使您没有使用数据库/ MySQL,是否还需要SQL注入保护?
如果我在PHP中有一个基本的邮件表单,我会将信息发送到我的电子邮件中吗?
答案 0 :(得分:1)
如果您不使用数据库,那么不需要,您不需要防范利用数据库查询的攻击。电子邮件拥有自己的一整套漏洞,我建议使用phpmailer或swiftmailer这样的库来帮助解决这个问题。无论哪种方式,您都应该始终验证从表单提交的数据是否采用您期望的格式。
答案 1 :(得分:0)
您需要为邮件表单提供XSS保护。您不希望用户能够将javascript等注入电子邮件中。防止XSS的一种简单方法是使用 htmlentities() 禁止用户输入中的<script>..</script>等HTML标记。 htmlentities会将<script>等标记转换为<script>