Классические ASP Hacks - Инъекция

Question

В Classic ASP я использовал параметризованные запросы для всех запросов SQL в моем приложении.

Нужно ли защищать простую форму электронной почты, которая не имеет доступа к базе данных?

Answer 1

Защита от спам-ботов - хорошая идея. Вы не хотели бы, чтобы другие компьютеры использовали ваши формы без вашего ведома. Вот несколько предложений:

1. Создайте независимый аккаунт, на который страница будет отправлять электронные письма. Если адрес чрезмерно спам, вы можете переключиться на другой.
2. Используйте капчу. Мне нравится Mollom , потому что он показывает CAPTCHA, только если запись выглядит как спам, и это не навязчиво большинству реальных пользователей.

Answer 2

Как и предполагалось, CAPTCHA - хорошая идея, чтобы избежать атак спама / пищи, ваш почтовый сервер может поставить в очередь тысячи писем, что может вызвать серьезные проблемы и административные издержки.

Еще одна вещь, о которой следует быть осторожным, это Email Injection . Это может позволить злоумышленнику отправлять спам-сообщения через ваш сервер.