使用php安全地将从表单接收到的html发送到电子邮件

时间:2018-07-22 10:35:39

标签: php security filtering

我有一个按钮,可以将div作为html发送到网站上的电子邮件。 我想避免仅使用关联的变量来重建html,但是我认为这样做的风险是因为有人可以向我的php脚本发送任何内容。 删除<script>标签就足够了吗?

这是我获取和发送电子邮件的方式:

    $subject = 'Some title';
    $message = $html_mail;
    $headers  = 'MIME-Version: 1.0' . "\r\n";
    $headers .= 'Content-type: text/html; charset=utf-8' . "\r\n";
    $headers .= 'To: '. $to . "\r\n";
    $headers .= 'From: My name <'.$admin_mail.'>' . "\r\n";
    $response = mail($to, $subject, $message, $headers);

1 个答案:

答案 0 :(得分:1)

几乎所有的电子邮件客户端(例如gmail,yahoo,outlook,雷鸟,邮件等)都根本不运行javascript。默认情况下,禁用Javascript和其他脚本。因此<script>标签完全没有安全威胁。但是,如果处理不当,用户可能会在HTML电子邮件中嵌入的辱骂性语言或图像可能是一个严重问题。如果您认为您的用户很老练,但事实并非如此,那就不用担心了。