0

我正在寻找所有方法来阻止人们在 php 级别将 php 代码输入到文本字段中。我可以防止 sql 注入,但我不需要一种方法来防止人们说弄乱我的 if 语句吗?

$email=$_POST["email"];
if(filter_var($email, FILTER_VALIDATE_EMAIL))
{
    //do suff
}

用户是否可以不输入类似“not@a@valid@email.com = valid@email.com”作为电子邮件,它将被视为有效。我知道这个例子对服务器来说还不错,但我相信其他人会想出更致命的。

还是我在担心一些从来都不是问题的事情?

4

1 回答 1

1

这不是问题,因为用户数据是字符串的值。这与说:

filter_var("die()", FILTER_VALIDATE_EMAIL)

这也不会杀死你的程序。这只是文字。

只是不要使用eval. 从来没有,但特别是从来没有在用户输入上。

于 2013-10-25T23:53:19.820 回答