你可以使用PHP Explode（）來防禦注入攻擊嗎？

Question

我一直在看幾個帖子，看看如何防範各種形式的'注入'攻擊。

What's the best method for sanitizing user input with PHP?是一個令人敬畏的帖子，並且對數據庫非常有幫助，但是我想要做的一件事是防禦我的郵件服務器被某人'註冊'使用，並使用一串逗號分隔的電子郵件地址來垃圾郵件。這是一個似乎並不經常看到的話題。

是的，驗證碼（或等效）已到位，這更適用於剪切並粘貼到電子郵件字段中的一長串逗號分隔值的討厭用戶。

我希望爆炸，然後只採取數組中的零元素將是最好的方式拋出其餘的，但如果任何人有其他的想法或方法，那麼很高興閱讀它們。

$emails_passed = explode(",", $_POST['email_field']); // could also use $_GET 
$email_to = $emails_passed[0]; 

Answer 1

嗯，是的，你可以，但這不是明智的做法。簡單檢查是否給出了有效的電子郵件，請參閱php validation, first example進行一些基本的電子郵件驗證。有效的電子郵件不包含逗號。

所以，如果它有一個逗號是無效的，所以你應該對用戶說，請給一個有效的電子郵件。認爲，以爆炸方式解決問題然後使用爆炸

上面的故事只有當你允許單個電子郵件（foo@bar.com）像甘姆勃注意到在評論the specs逗號在電子郵件中指出。

因爲你的問題是要防止人們給多個電子郵件，所以你「垃圾郵件」他們。我仍然建議驗證電子郵件和檢查。

希望額外的信息，這要歸功於濃湯幫助