安全联系表？ [关闭]答案

【问题标题】：Secure contact form? [closed]安全联系表？ [关闭]
【发布时间】：2014-12-06 04:27:43
【问题描述】：

目前我正在为某人网站制作联系表（电子邮件联系表）。

经过一些研究，我听说有一些方法可以确保您的联系表，这让我开始思考。

1.如果您不“保护”您的联系表格而不是垃圾邮件，是否存在真正的大威胁？更糟糕的情况是什么？

2.如果我要遵循一些关于如何制作安全的联系表格的指南，从哪里开始最好？（插件，教程任何建议都会有所帮助！）

谢谢大家！

【问题讨论】：

luxsci.com/blog/… 谷歌搜索安全 html 表单后您的问题的一些答案
这不是一个真正的问题，正如 stackoverflowers 所说的那样。做一个研究并尝试一些代码，如果你被困在某个地方的代码中，用你已经尝试过的代码发布你的问题，然后你会得到答案，谢谢。点击这里快速开始 --> google.de/…
对于初学者来说，表单的“安全性”取决于您对数据的处理方式（SQL 注入等）
这个问题本身有点宽泛，但考虑一下是件好事。不幸的是，“安全”不容易证明。有很多因素可以影响它。在开发此功能时，您当然可以在 Code Review Stack Exchange 网站上发布代码以征求反馈意见，如果您对特定实现有具体问题，我们很乐意在 Stack Overflow 上为您提供帮助。
如果我的问题不合法，那就太糟糕了。我对 Stackoverflow 很陌生。还有感谢 cmets 的家伙，我会看看你们给了我什么！

标签： php jquery forms contact-form

【解决方案1】：

1.如果您不“保护”您的联系表，是否存在真正的大威胁

您需要将所有用户输入视为潜在威胁。根据您的暴露情况减轻潜在威胁是您的责任。

威胁的严重性无法一概而论：您需要查看资产的价值、应用程序的可见性以及您可能遇到的攻击者类型（自动/被动或有针对性/主动）。

2.如果我要遵循一些关于如何制作安全的联系表的指南，那么从哪里开始最好？（插件，教程任何建议都会有所帮助！）

许多应用程序框架都带有一些表单安全功能，但您仍然有责任了解这些机制。没有交钥匙安全之类的东西：上下文就是一切。

安全性是一个深奥的话题，但这里有一些指导方针：

永远不要相信用户提供的数据
首选白名单而不是黑名单；如果你不能列入白名单，那么你真的必须了解输出转义
事实上，无论哪种方式，您真的都需要了解输出转义：理解上下文中的数据并适当地转义输出是必不可少的
了解http协议并了解php如何抽象它

这里有一些不错的起点：

【讨论】：

嘿，谢谢你的信息！我想我可以说这是我迄今为止发表的一篇非常成功的帖子。每个人给出的所有答案都为我接下来应该学习的内容开辟了一个全新的方向。干杯。

【解决方案2】：

“安全”是一个非常广泛的话题，但对于初学者来说，您可以通过购买（或生成您自己的自签名）SSL 证书来保护正在传输的数据。这将加密发送到您的表单的任何数据。您是否需要加密取决于您要求的信息类型。如果您只是寻求建议，您可能不需要它太安全，但如果您请求 CC 号码或 SSN 等敏感信息，那么没有 SSL 实际上是非法的（至少在美国这里是这样）。

【讨论】：

购买 SSL 证书对我来说绝对是新事物，我必须研究一下。但是，与此同时，我正在为其创建网站的人是景观设计师，她的网站通常用于投资组合而不是大型企业。也就是说，假设我不需要 SSL 证书是否安全？
@Chunmuchy：您始终可以创建证书，取决于用户是否信任它。需求将来自所提供数据的性质。网站提供的任何数据是否需要远离窥探方？ user 提供的任何数据都需要吗？如果用户曾经提供过密码，是的。或任何个人或识别信息。即使提供电子邮件地址也可以被认为需要加密，至少对于一部分用户而言。我猜，平衡该子集与作为业务决策的信息需求。
@Chunmuchy 我的猜测是不，您很可能不需要安全表单，但同样，这取决于您要求的信息类型。用你最好的判断。一般规则是：如果您要获取可用于窃取某人身份的信息，请使用 SSL。
@Chunmuchy 但请放心，如果您 /do/ 决定使用 SSL，那将非常容易。您的主机提供商可以为您设置所有内容，并且不需要对实际 PHP 代码进行任何更改。
@David：从你所说的来看，我现在强烈地感到需要一个更安全的选择。了解我的客户，似乎会出现敏感信息可能会被退回和第四次返回的情况。所以到目前为止，我想我会通过在联系页面上简单地发布一个电子邮件地址来解决这种情况。