Несомненно, при использовании MySQL вы используете mysqli_real_escape_string()
и проверяете, что тип полученного ввода соответствует ожидаемому (строка, число и т. д.), и вы можете быть уверены, что можете использовать его в качестве ввода для mysqli_query()
достаточно безопасно... верно?
Ну и вопросы такие:
- Каков наилучший способ избежать строки, которая будет использоваться в
mail()
? - Если получателем электронной почты будет адрес электронной почты, введенный в текстовое поле, на что следует обратить внимание, чтобы избежать инъекций или эксплойтов?
У меня есть довольно хорошая идея, как это сделать, но я копаюсь в лучших практиках по этому вопросу, чтобы узнать, не упустил ли я что-то или есть лучший способ.
РЕДАКТИРОВАТЬ: Идея этого вопроса состоит не в том, чтобы получить ответ THE, а в том, чтобы составить исчерпывающий совместный список всех вещей, о которых нужно позаботиться при работе с электронной почтой с помощью PHP.