您好 我正在开发一份联系表格。我正在使用邮件功能将其通过电子邮件发送给网站管理员。
是否存在某人可能注入恶意javascript和任何其他注入攻击的风险?
$to = (this is from config xml file)
$message = $_POST['message'];
mail($to ,'feedback',$message);
答案 0 :(得分:3)
仅当您将内容类型设置为text/html
答案 1 :(得分:0)
如果registers globals为ON(不应该是),则存在(巨大的)注入风险(取决于$to实际设置的位置)。
同样正如大卫指出的那样,如果您使用HTML消息(可能使用htmlspecialchars),您可以清理$ _POST ['message']。