Quindi, sto spendendo questo script di modulo di invio e-mail per un cliente e ho visto qualcosa di piuttosto strano per la mia esperienza. Come puoi vedere qui sotto, il programmatore originale ha disinfettato l'input dell'utente. È una buona pratica o ha senso?
// Build Message Body from Web Form Input
foreach ($_POST as $Field=>$Value)
$MsgBody .= "$Field: $Value\n";
$MsgBody .= "\n" . @gethostbyaddr($_SERVER["REMOTE_ADDR"]) . "\n" .
$_SERVER["HTTP_USER_AGENT"];
$MsgBody = htmlspecialchars($MsgBody, ENT_NOQUOTES); //make safe
Grazie a tutti!