gpt4 book ai didi

PHPMailer 清理

转载 作者:塔克拉玛干 更新时间:2023-11-03 06:09:24 29 4
gpt4 key购买 nike

问题很简单:在使用 PHPmailer 类时我应该使用任何类型的清理吗?

我制作了使用 phpmailer 类发送电子邮件的简单发送邮件表单。目前我只使用“htmlspecialchars”进行清理(虽然我读到没有必要这样做,但这个信息不是 100% 可靠)。

我尝试在标签之间发送一些 js 代码,我收到了它,但我不确定是否可以进行其他类型的攻击。<​​/p>

最佳答案

除了检查输入的电子邮件地址是否为有效电子邮件地址外,您不需要在发送到 phpMailer 之前清理任何内容。

数据清理有两个原因:SQL 注入(inject)和 XSS 或 CSRF(Xross 站点脚本或跨站点请求伪造)在任何一种情况下,用户都必须根据他们的输入将某些内容视为输出。

但是,您询问有关邮件类清理的问题是件好事,因为理想情况下没有人会要求这样做。 HTML 标签?当然你可以发送 HTML 标签!您可以定义 content-type作为 text/html

您需要 sanitizer 什么?

  1. 附件类型!无论邮件客户端漏洞如何,总是在附件中找到。仅允许以下 MIME 类型:

    image/jpeg', 'image/pjpeg', 'image/gif', 'image/png', 'application/msword', 'application/vnd.ms-office', 'application/vnd.openxmlformats-officedocument .wordprocessingml.document', 'application/vnd.openxmlformats-officedocument.wordprocessingml.template', 'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet', 'application/vnd.openxmlformats-officedocument.presentationml.presentation', '应用程序/pdf'

不建议检查文件的扩展名!因为,邮件客户端可能会使用像 get_file_contents() 这样的函数,它只会在浏览器中打开文件,如果它是嵌入了 JPEG 扩展名的 javascript,它仍然会执行! (在 IE6/IE7 中确实如此)然而,浏览器的工作又是拥有强大的解析机制。 Content-Sniffing

  1. 附件大小

确保您有大小限制。

利用可能会或可能不会在邮件中,邮件客户端必须处理它。但是,作为邮件端编码人员,您应该注意这两件事。

希望对您有所帮助:)

关于PHPMailer 清理,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12286344/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com