Безопасный скрипт электронной почты php

Question

Я хочу использовать скрипт php для отправки писем из html-файла на веб-сайт. Будет ли этот php-скрипт достаточно защищен от взлома и спама?

<?php 

$to = "emailto@site.com";
$subject = "Sent from site";

$email = $_POST['emailFrom'];
$message = $_POST['message'];

$email   = filter_var($email , FILTER_SANITIZE_EMAIL);
$message = filter_var($message , FILTER_SANITIZE_EMAIL);

$message = $email . $message;

mail($to, $subject, $message, "From: webpage@site.com");
?>

Answer 1

FILTER_SANITIZE_EMAIL удаляет недопустимые символы адреса электронной почты из строки;следовательно, это не лучший вариант для содержимого электронного письма (каким бы полезным оно ни было для адресов электронной почты).Хотя удаление специальных символов HTML полезно при предотвращении атак XSS, стоит отметить, что существуют веские причины размещать <и> в сообщениях (т.е. прямо сейчас).Поэтому лучше конвертировать эти символы в их HTML-сущности.Т.е.<станет <и> станет>

Итак, чтобы заменить html-символы на их сущности, замените:$message = filter_var($message , FILTER_SANITIZE_EMAIL); с$message = htmlspecialchars($message);Кроме того, это выглядит хорошо;но помните, что в случаях, когда база данных задействована, следует также добавить дезинфекцию базы данных.