Учитывая контактную форму, которая принимает пользовательский ввод (например, адрес, строка темы, сообщение), каковы некоторые последствия для безопасности и "подводные камни", которых следует остерегаться?
Как минимум, адрес электронной почты пользователя должен быть подтвержден (вероятно, с использованием filter_var () или аналогичного). Из того, что я прочитал, это также должно предотвратить добавление дополнительных заголовков в сценарий.
А как насчет строки темы и содержания сообщения? Требуются ли какие-либо санитарные меры для этих полей? Я полагаю, что почтовый клиент предотвратит автоматический запуск таких вещей, как скрипты, и меня не особенно беспокоят такие вещи, как HTML-теги (если кто-то хочет потратить время на стилизацию электронного письма вручную, это их прерогатива - я просто не буду увидеть это: P). Если требуется очистка , как лучше всего сделать это, не слишком навязчиво (т.е. сохраняя характер электронного письма неизменным)?