我理解mysql_real_escape_string等等,但是当我发送电子邮件时呢?
所以,我有形式,和一个文本框,在那里只需直接在电子邮件的任何漏洞$_POST数据给用户?我猜他们无法执行任何PHP ..或者如果他们从网址运行它们可以吗?我不确定.
如果它直接发送到电子邮件,那就没关系了.如果它存储在数据库中以显示在管理员页面(如帮助台等)上,则需要对html输出和mysql进行转义.你可以使用许多函数来逃避mysql:
这就是说因为电子邮件可以包含HTML,如果你不想接收人们把伪造的HTML等电子邮件<blink>(这真的很烦人)那么你可以使用htmlspecialchars():http://php.net/manual/en/function .htmlspecialchars.php
如果你担心电子邮件中的Javascript,那么使用htmlspecialchars()上面提到的也将逃避这一点.