Разбира се, когато използвате MySQL, вие използвате mysqli_real_escape_string()
и проверявате дали типът на получените входни данни е вида, който очаквате (низ, число и т.н.) и можете да сте сигурни, че можете да го използвате като входни данни за mysqli_query()
доста сигурно... нали?
Ами въпросите са:
- Кой е най-добрият начин за екраниране на низ, който ще се използва в
mail()
? - Ако получателят на имейл ще бъде имейл адресът, въведен в текстово поле, за какви неща трябва да внимавам, за да избегна инжекции или експлойти?
Имам доста добра идея как да направя това, но се ровя в най-добрите практики по тази тема, за да разбера дали пропускам нещо или има по-добър начин.
РЕДАКТИРАНЕ: Идеята на този въпрос не е да има THE отговор, а да се направи изчерпателен съвместен списък на всички неща, за които трябва да се погрижите, когато правите имейл с PHP.