我想知道下面的代碼是否存在潛在的安全風險。我用這個在我的博客,每當用戶提交一個評論,它給我發了一條短信:在PHP的mail()函數中是否有注入風險?
mail('[email protected]', '',
"Comment posted by $name: $comment",
"From: [email protected]");
凡$name
和$comment
是還沒有真正被以任何方式消毒用戶輸入的值。用戶是否有可能在這裏做任何惡意的事情? mail()文檔對此沒有任何說明,但將用戶輸入的值直接粘貼到字符串中感覺不對。有沒有真正的風險,還是我只是偏執狂?
我不認爲任何惡意行爲都可以完成,但是你應該限制一些變量的長度,這樣你就不會讓別人失望。 – 2010-01-02 21:42:28
作爲便箋,您引用'cellnumber',所以我假定您正在使用郵件到SMS服務。如果你從某個角度對這些消息收取費用,也許有人會用1000多條評論來炸你,並造成一些損害。 – 2010-01-02 22:17:30
你有那裏的好系統。我不能通過郵件發送短信到我的手機:( – AntonioCS 2010-01-03 01:21:18