có, địa chỉ email hợp lệ có thể được sử dụng làm vùng chứa cho một số chuỗi được tạo cẩn thận.
thoát khỏi suy nghĩ "lọc" và đi vào tư duy "thoát". Bộ lọc "làm cho an toàn" phổ biến chỉ đơn giản là không tồn tại. Ví dụ:
ví dụ: nếu địa chỉ email sẽ được xuất sang tài liệu văn bản thuần túy thì không cần làm gì cả. nếu nó được đưa vào một tài liệu html, như là một nút văn bản, sau đó nó cần phải được thoát cho html ký tự đặc biệt và entitites. nếu nó được đưa vào một tài liệu html, và giá trị của nó sẽ nằm bên trong một thuộc tính html, thì việc thoát rất cẩn thận sẽ cần được thực hiện và nó sẽ phụ thuộc vào ngữ cảnh. nếu nó đang được sử dụng trong một truy vấn sql, thì nó cần phải được thoát qua chức năng thoát cơ sở dữ liệu cụ thể. và vân vân.
đó là tất cả về ngữ cảnh sử dụng, không phải nội dung của chuỗi. điều này đi cho tất cả mọi thứ (không chỉ email hoặc đầu vào người dùng khác), và nó không chỉ là vấn đề bảo mật, mà còn là vấn đề chính xác về lập trình.
fyi, tôi nhớ thông số địa chỉ email cho phép chuỗi được trích dẫn, vì vậy, chẳng hạn như "<script>alert('xss')</script>"@example.com sẽ hợp lệ. các possibibilites là hiển nhiên.
Ví dụ, không có lời chào" an toàn ". Điều gì lịch sự trong một số xã hội là thô lỗ ở những người khác. Biết bối cảnh của bạn! – Xeoncross
+1. FILTER_VALIDATE_EMAIL là để kiểm tra xem địa chỉ e-mail có hợp lệ hay không và như ví dụ trên cho thấy, không có gì liên quan đến bất kỳ vấn đề tiêm nào khác. Nếu nó * đã * chặn dấu ngoặc kép hoặc ít hơn, thì nó sẽ chỉ là do đồng tỷ lệ và sẽ không phải là thứ bạn nên dựa vào. – bobince