在发送每封电子邮件之前过滤用户输入

Question

我正在用 PHP 创建一个简单的反馈表单：用户只需输入一些关于我的网站的评论/建议等，然后单击“发送反馈”。然后他输入的文本将作为电子邮件正文直接发送给我（即我自己设置收件人地址，用户的输入仅在邮件正文中使用）。

现在我不确定，如果我只是简单地获取未经过滤的文本并将其插入电子邮件正文中，可能会发生什么样的攻击。

我目前正在使用 Joomla 平台（即我正在使用 Joomla 的 JMail 功能），但我认为问题更普遍：有很多关于 SQL 注入和跨站点脚本的信息（这是等效的攻击向量），但我没有找到太多关于电子邮件的信息。

请注意，在我的例子中，文本仅每封电子邮件发送，因此我不关心 SQL 注入或跨站点脚本（电子邮件以纯文本形式发送）。那么我应该应用什么样的过滤呢？

谢谢 马丁

Answer 1

由于您只需要评论和建议，因此您可以简单地删除除字母、数字和“.”、“,”之外的任何字符。即使它删除了其他字符，对您来说也没关系，您会知道它们的含义。 “=”是最大的敌人。但我描述的这套装置应该可以保证你的安全。

Answer 2

最重要的是垃圾邮件防护。

如果您以 HTML 格式发送电子邮件，则应过滤标签（strip_tags 或 htmlspecialchars）或验证用户的 HTML (HTMLPurifier http://htmlpurifier.org/< /a>)

限制消息的长度也很有用。