Конечно, при использовании MySQL вы используете mysqli_real_escape_string()
и убедитесь, что тип вводимого ввода - это вид, который вы ожидаете (строка, число и т.д.), и вы можете быть уверены, что можете использовать его в качестве входных данных для mysqli_query()
довольно безопасно... правильно?
Ну, вопросы:
- Каков наилучший способ избежать строки, которая будет использоваться в
mail()
? - Если получатель электронной почты будет адресом электронной почты, введенным в текстовое поле, что я должен делать осторожно, чтобы избежать инъекций или эксплойтов?
У меня есть неплохая идея, как это сделать, но я вникаю в лучшие практики на эту тему, чтобы узнать, не хватает ли я чего-то или если есть лучший способ.
EDIT: Идея этого вопроса состоит не в том, чтобы иметь THE ответ, а в том, чтобы составить исчерпывающий список всех вещей, которые нужно позаботиться при работе с электронной почтой с PHP.