Обучение/Помощь новичкам | xss в mail
AdRed 
Тема закрыта by
SNEG
SNEG
Один человек мне доказывает что нужно фильтрировать все данные $_POST, также и в mail() , но зачем ? Сам виноват же что всунешь себе в письмо туда и уйдет отправка, человек который регистрируется сам заинтересован получить письмо по факту то , я понимаю если где-то на странице сайта выводится типа чтобы js не сработал вредоносный который вставят
В общем я за то что для $_POST['email'] в mail() не нужно применять htmlspecialchars, может я не прав , почему ?
________
посл. ред. 23.12.2023 в 01:47; всего 9 раз(а); by SNEG
php
if(!filter_var($_POST['email'], FILTER_VALIDATE_EMAIL))
$err = htmlspecialchars($_POST['email']).' адрес некорректно введён.';В общем я за то что для $_POST['email'] в mail() не нужно применять htmlspecialchars, может я не прав , почему ?
php
mail($_POST['email'], 'заголовок ', 'тело', 'кодировка :)');________
посл. ред. 23.12.2023 в 01:47; всего 9 раз(а); by SNEG
Использование `htmlspecialchars` в контексте отправки почты через `mail()` может быть излишним, особенно если у вас нет конкретных причин для этого. Эта функция обычно применяется для защиты от XSS-атак, когда данные отображаются в веб-странице.
Однако, если у вас есть конкретные требования к безопасности, например, если вы хотите избежать вставки вредоносного кода в заголовок или тело письма, то может быть разумным провести некоторую фильтрацию данных, например, с использованием функции `filter_var` или других методов, чтобы предотвратить вставку вредоносных данных.
В вашем примере использование `filter_var` для проверки корректности email-адреса вполне обосновано. Однако, `htmlspecialchars` в контексте отправки почты не является стандартной практикой, если у вас нет конкретных потребностей в этом.
MARAZM Однако, если у вас есть конкретные требования к безопасности, например, если вы хотите избежать вставки вредоносного кода в заголовок или тело письма, то может быть разумным провести некоторую фильтрацию данных, например, с использованием функции `filter_var` или других методов, чтобы предотвратить вставку вредоносных данных.
В вашем примере использование `filter_var` для проверки корректности email-адреса вполне обосновано. Однако, `htmlspecialchars` в контексте отправки почты не является стандартной практикой, если у вас нет конкретных потребностей в этом.
Не нужно, достаточно FILTER_VALIDATE_EMAIL Потому что в имени мыла - htmlspecialchars удалит если есть таковое сервисом мыла разрешено.
Все остальные вводный отправляемые данные - да.
Все остальные вводный отправляемые данные - да.
Я же говорила, пару дней назад, зачем?)
Пусть тот почтовый ящик, куда отправляешь почту, попу рвут 😁
ну, понятное дело, у себя на сервере проверяй на валидность
________
посл. ред. 23.12.2023 в 02:24; всего 1 раз(а); by Лара
Пусть тот почтовый ящик, куда отправляешь почту, попу рвут 😁
ну, понятное дело, у себя на сервере проверяй на валидность
________
посл. ред. 23.12.2023 в 02:24; всего 1 раз(а); by Лара
F12 
Лара (23 дек 2023, в 2:19)Я же говорила, пару дней назад, зачем?)
Пусть тот почтовый ящик, куда отправляешь почту, попу рвут 😁
ну, понятное дело, у себя на сервере проверяй на валидность
уже сколько времени прошло, никогда не пробовала его заюзать)
SNEG (23 дек 2023, в 2:26)Меня дебил один на стаке запутал в теме нарыгал мне что может добавить дополнительные поля ,ну пусть добавляет и куда он получил себе свои же дополнительные поля на свою почту
Лара , вот почему SNEG его не юзает, а темы тут создаёт по 30 в сутки, это загадка)
Bopo6eu (23 дек 2023, в 2:19)Не нужно, достаточно FILTER_VALIDATE_EMAIL Потому что в имени мыла - htmlspecialchars удалит если есть таковое сервисом мыла разрешено.
Все остальные вводный отправляемые данные - да.