我有一个页面,想要在GET参数中接受电子邮件地址。如果我使用FILTER_VALIDATE_EMAIL
,我是否仍然容易受到xss和javascript注入攻击等漏洞的影响?
我不是在问它是否是一个好的、足够好的电子邮件地址验证器。我想知道是否仍然可以通过它传递的任意字符串注入恶意的Web代码--我需要进行额外的过滤以防止这种情况发生吗?
这应该足够好了,但是当将其输入数据库等地方时,仍然需要进行转义。您永远不知道PHP或Apache中可能存在哪种漏洞,可能会导致攻击发生。
john.o'connor@somewhere.com
直接注入到 SQL 查询中,它会给你带来麻烦... - Cylindric