Rag*_*ffn 3 php security email email-headers
如果没有访问php.ini(假设php -v> = 5.3&mail.add_x_header = 1),或者修补邮件的方法,有没有办法在使用php时更改X-Php-Originating-Script标头mail()功能?
我做过的一项小小的研究表明,$_SERVER['PHP_SELF']在调用之前进行更改mail()可以解决问题,但这对我没有用.
我还尝试直接设置X-Php-Originating-Script,这导致了另一个'X-Php-Originating-Script'标题.
在这种情况下的目标是防止所述电子邮件的收件人在脚本命名法上详细说明.
谢谢!
Nig*_*Owl 10
根据PHP手册(PHP手册>>功能参考>>邮件相关扩展>>邮件>>安装/配置),可以使用php.ini或.htaccess文件关闭标题,这将阻止任何人从您的邮件标题中收集信息而无法访问到你的php.ini文件.
关闭它的设置是:
mail.add_x_headerbool添加
X-PHP-Originating-Script将包含脚本的UID,后跟文件名.
这会使实际的行禁用它:
mail.add_x_header 0
此设置使用PHP_INI_PERDIR模式标记(自PHP 5.3.0起可用).PHP_INI_PERDIR表示"可以在php.ini,.htaccess,httpd.conf或.user.ini中设置条目(自PHP 5.3起)".
用于.htaccess:
php_flag mail.add_x_header Off
我没有亲自测试过这个YMMV.