当然,在使用MySQL时,您使用mysqli_real_escape_string()并检查收到的输入类型是否是您期望的类型(字符串,数字等),您可以非常确定可以将其用作{的输入{1}}非常安全......对吧?
嗯,问题是:
mysqli_query()中使用的字符串的最佳方法是什么?我非常清楚如何做到这一点,但我正在深入研究这个主题的最佳实践,以了解我是否遗漏了某些东西,或者是否有更好的方法。
编辑:这个问题的想法不是要有 THE 答案,而是要制作一份包含用PHP发送电子邮件时要处理的所有事情的综合协作列表。
答案 0 :(得分:12)
电子邮件注入背后的想法是攻击者在电子邮件标题中注入换行符(LF),因此他根据需要添加了多个标题。剥离这些换行符可以保护您免受此攻击。有关详细信息,请查看http://www.phpsecure.info/v2/article/MailHeadersInject.en.php
最佳做法是依靠编写良好,经常更新和广泛使用的代码。为此,我建议使用PEAR_MAIL或Zend_Mail
如果您不想加载这些模块,或者您需要保持简单。您可以从这些模块中提取过滤功能。虽然我建议使用它们并经常更新库,以便将来出现新攻击时你只需更新你的库(Pear或Zend)就可以了。
这是在Pear Mail包中清理标题的功能:
function _sanitizeHeaders(&$headers)
{
foreach ($headers as $key => $value) {
$headers[$key] =
preg_replace('=((<CR>|<LF>|0x0A/%0A|0x0D/%0D|\\n|\\r)\S).*=i',
null, $value);
}
}
Zend_Mail对电子邮件,名称和其他字段使用不同的过滤器:
function _filterEmail($email)
{
$rule = array("\r" => '',
"\n" => '',
"\t" => '',
'"' => '',
',' => '',
'<' => '',
'>' => '',
);
return strtr($email, $rule);
}
function _filterName($name)
{
$rule = array("\r" => '',
"\n" => '',
"\t" => '',
'"' => "'",
'<' => '[',
'>' => ']',
);
return trim(strtr($name, $rule));
}
function _filterOther($data)
{
$rule = array("\r" => '',
"\n" => '',
"\t" => '',
);
return strtr($data, $rule);
}