给定一个接受自定义用户输入的联系表单(例如地址,主题行,消息),有哪些安全隐患和"陷阱"要小心?
至少,必须验证用户的电子邮件地址(可能使用filter_var()或等效的).根据我的阅读,这也应该防止将额外的标头注入脚本.
虽然主题和消息内容怎么样?这些领域需要卫生设施吗?我认为一个电子邮件客户端会阻止脚本之类的东西自动运行,我并不特别担心像HTML标签这样的东西(如果有人想花时间手工设置电子邮件,这是他们的特权 - 我不会看到它:P).如果卫生的需要,有什么做的没有太侵入(即保持电子邮件的性质相同)的最好方法?