blocks|key|418288|text|先生，请允许我向您介绍Email+Injection|type|unstyled|depth|inlineStyleRanges|entityRanges|offset|length|data|418289|如何防止：http://phpsense.com/php/php-mail.html注意:如果您只在电子邮件正文中使用用户提供的数据，那么您应该是安全的。但我的建议是，永远不要信任用户输入的数据。|style|BOLD|418290|entityMap|0|LINK|mutability|MUTABLE|url|http://www.securephpwiki.com/index.php/Email_Injection|1|http://phpsense.com/php/php-mail.html^0|B|F|0|0|2C|E|5|11|1|0^^$0|@$1|2|3|4|5|6|7|R|8|@]|9|@$A|S|B|T|1|U]]|C|$]]|$1|D|3|E|5|6|7|V|8|@$A|W|B|X|F|G]]|9|@$A|Y|B|Z|1|10]]|C|$]]|$1|H|3|-4|5|6|7|11|8|@]|9|@]|C|$]]]|I|$J|$5|K|L|M|C|$N|O]]|P|$5|K|L|M|C|$N|Q]]]]

Well sir, may i introduce you <a href="http://www.securephpwiki.com/index.php/Email_Injection" rel="nofollow">Email Injection</a>

How to prevent: <a href="http://phpsense.com/php/php-mail.html" rel="nofollow">http://phpsense.com/php/php-mail.html</a>
Note: If you use the user supplied
data just in the body of the email,
then you should be safe from it. But
my recommendation is NEVER trust
user input data.

blocks|key|5533239|text|如果您没有在SQL语句中使用任何输入，没有将其写入文件，没有使用eval或exec，或者没有包含它，那么就不可能注入可执行的php代码。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|5533240|entityMap^0|0^^$0|@$1|2|3|4|5|6|7|D|8|@]|9|@]|A|$]]|$1|B|3|-4|5|6|7|E|8|@]|9|@]|A|$]]]|C|$]]

If you're not using any of the input in an SQL statement, not writing it to a file, not using an eval or an exec, or including it, no, it's not possible to inject executable php code.

blocks|key|5533249|text|如果看不到来源，没有人能确定，但很可能。代码执行通常在使用eval时发生。还要检查您是否在用户可以修改的字符串中的路径上使用了include或require。|type|unstyled|depth|inlineStyleRanges|offset|length|style|CODE|entityRanges|data|5533250|哦，还有一个头注入，它可能会影响你的http://www.securephpwiki.com/index.php/Email_Injection|5533251|entityMap|0|LINK|mutability|MUTABLE|url|http://www.securephpwiki.com/index.php/Email_Injection^0|T|4|0|I|1I|0|0^^$0|@$1|2|3|4|5|6|7|P|8|@$9|Q|A|R|B|C]]|D|@]|E|$]]|$1|F|3|G|5|6|7|S|8|@]|D|@$9|T|A|U|1|V]]|E|$]]|$1|H|3|-4|5|6|7|W|8|@]|D|@]|E|$]]]|I|$J|$5|K|L|M|E|$N|O]]]]

Without seeing the source, no one can tell for sure, but probably. Code execution usually happens when you use <code>eval</code>. Also check if you use include or require on paths from strings which could be modified by users.

Oh and there is Header Injection which will probably affect you <a href="http://www.securephpwiki.com/index.php/Email_Injection" rel="nofollow">http://www.securephpwiki.com/index.php/Email_Injection</a>

blocks|key|3421651|text|我唯一能想到的就是打开register_globals，这将是一个高风险。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|3421652|例如，如果您有以下url，且注册全局变量为：http://mysite/page/php?_SESSION=0，则会导致PHP覆盖会话全局变量：|offset|length|style|CODE|3421653|var_dump($_SESSION);+//+=+0|code-block|syntax|javascript|3421654|否则它只是一个电子邮件注入，它是由@amosrivera提供的一个很棒的链接|3421655|entityMap|0|LINK|mutability|MUTABLE|url|https://stackoverflow.com/users/459688/amosrivera^0|0|M|X|0|0|H|B|0|0^^$0|@$1|2|3|4|5|6|7|W|8|@]|9|@]|A|$]]|$1|B|3|C|5|6|7|X|8|@$D|Y|E|Z|F|G]]|9|@]|A|$]]|$1|H|3|I|5|J|7|10|8|@]|9|@]|A|$K|L]]|$1|M|3|N|5|6|7|11|8|@]|9|@$D|12|E|13|1|14]]|A|$]]|$1|O|3|-4|5|6|7|15|8|@]|9|@]|A|$]]]|P|$Q|$5|R|S|T|A|$U|V]]]]

the only thing that i can think of is having register_globals turned on, this will be a high risk.

for example if you had the following url with register globals on: <code>http://mysite/page/php?_SESSION=0</code> it would cause PHP to overwrite the session globals:

<pre><code>var_dump($_SESSION); // = 0
</code></pre>

Otherwise its just email injection you would have to look out for, a great link supplied by <a href="https://stackoverflow.com/users/459688/amosrivera">@amosrivera</a>

blocks|key|2330411|text|你已经处理了很多事情了。但我只想分享我在代码注入方面的经验。几个月前，我在我网站的index.php文件中发现了一些奇怪的代码行。当时我只是删除了这些行，但它们在大约一周后又回来了。然后，经过大量的研究，我发现这是因为我的计算机中的一些恶意软件，从我的FTP应用程序中入侵了我的FTP+ID/Pwd。它正在更改index.php中的代码。在那之后，当我在我的电脑上重新安装操作系统时，这个问题就解决了。因此，这可能是代码注入的一种可能性。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|2330412|entityMap^0|0^^$0|@$1|2|3|4|5|6|7|D|8|@]|9|@]|A|$]]|$1|B|3|-4|5|6|7|E|8|@]|9|@]|A|$]]]|C|$]]

You already taking care of many things. But I just want to share my experience regarding Code Injection. Few months ago, I found some strange lines of code in the index.php file of my website. At that time I just removed those lines, but they came back again after a week or so. Then, after a lot of research I found that it was because of some mal-ware in my computer that hacked my FTP ID/Pwd from my FTP application. It was changing the code in index.php. After that when I reinstalled the OS in my computer and the issue was solved. So this might be one possibility of code injection.

blocks|key|2325407|text|最好不要从产生风险的条件来考虑这个问题，而是在不考虑背景的情况下采取预防措施。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|2325408|但是，一般来说，用户提交的数据没有保存到服务器上的任何位置，然后在web应用程序本身中使用，在请求结束时会被垃圾收集(在您的示例中，信息是通过电子邮件发送的，然后是GCed)。但总的来说，注入是一个非常大的问题，最好不要笼统地考虑它。当然，用户可能不能注入PHP，但即使是简单的不安全的文本，如在web应用程序中发布评论，也可以打开您的客户端XSS。最好去实践一下。|2325409|作为一般规则，只要有可能，就进行消毒。我还应该提到用于XSS过滤的HTMLPurifier，以防您在某些时候需要它。由于您的表单用于发送邮件，因此您还应该在输入上放置验证码，以防止自动发送。我也可以为你的邮件命令推荐PHPMailer吗？|offset|length|2325410|entityMap|0|LINK|mutability|MUTABLE|url|http://htmlpurifier.org/|1|http://phpmailer.worxware.com/^0|0|0|X|C|0|30|9|1|0^^$0|@$1|2|3|4|5|6|7|R|8|@]|9|@]|A|$]]|$1|B|3|C|5|6|7|S|8|@]|9|@]|A|$]]|$1|D|3|E|5|6|7|T|8|@]|9|@$F|U|G|V|1|W]|$F|X|G|Y|1|Z]]|A|$]]|$1|H|3|-4|5|6|7|10|8|@]|9|@]|A|$]]]|I|$J|$5|K|L|M|A|$N|O]]|P|$5|K|L|M|A|$N|Q]]]]

It's really best not to think of this problem in terms of conditions that produce risks and rather perform preventative measures regardless of context.

Generally speaking however, user submitted data that is not saved to any place on the server and then utilized in the web application itself is garbage collected at the end of the request (in your example, the information is emailed and then GCed). But injection on the whole is a very large issue and it's best not to think of it in broad strokes. Sure, the user may not be able inject PHP, but even simple unsecured textareas that post comments into a web app can open you up to client-side XSS. Better to get into the practice.

Sanitize wherever possible as a general rule. I should also mention <a href="http://htmlpurifier.org/" rel="nofollow">HTMLPurifier</a> for XSS filtering should you at some point need it. Since your form is being used to send mail, you should also place a CAPTCHA on the input to prevent automated sending. May I also suggest <a href="http://phpmailer.worxware.com/" rel="nofollow">PHPMailer</a> for your mail commands?

I have a php script running on my web site that accepts user-supplied input to send via an email. I am sanitizing the input data by stripping tags and slashes. However, I am not using this input to enter data in a database, or do an include, or an exec, or an eval, or anything like that. If I'm not doing one of these risky things, is it possible for a malicious user to inject executable php code through the GET, POST, or COOKIES arrays? I'm almost positive that the answer is "no", but I figured it was worth a shot at asking more experienced people. :)

PHP Code Injection

翻译质量差，导致语言生硬或混乱。

没有提供实际的解决方法或示例。

解答不清晰，无法理解或解决问题。

页面排版不美观，阅读体验差。

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云AI代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

功能1上新10个字符

功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符。

功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符。

功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符

功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符

功能4上新

文章&问答评论现已支持表情

全新交互，全新视觉，新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能，全面提升创作效率和体验

社区富文本编辑器全新改版！诚邀体验～ 

精选全网热门MCP server，让你的AI更好用 🚀

💥开发者 MCP广场重磅上线！

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

我有一个php脚本运行在我的网站上，它接受用户提供的输入并通过电子邮件发送。我正在通过剥离标签和斜杠来清理输入数据。但是，我不会使用此输入在数据库中输入数据，也不会执行include、exec、eval或其他类似操作。如果我没有做这些危险的事情，那么恶意用户有可能通过GET、POST或COOKIES数组注入可执行的php代码吗？我几乎肯定答案是“不”，但我认为值得一试去问更有经验的人。:)

问PHP代码注入
EN

回答 6

Stack Overflow用户

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问PHP代码注入EN

回答 6

Stack Overflow用户

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问PHP代码注入
EN