【发布时间】:2011-07-17 12:59:58
【问题描述】:
AFAIK 只有在使用用户数据时,电子邮件的 HEADERS 中存在漏洞?
我正在使用下面的函数来清理我的数据,但是我在页面上有一些 textarea 字段,因此这些字段可能包含换行符.. 所以想知道用户数据是否只会放在电子邮件的正文中,它可以不用担心被清理——当然除了剥离 html 吗?
函数如下:
function is_injected($str) {
$injections = array('(\n+)',
'(\r+)',
'(\t+)',
'(%0A+)',
'(%0D+)',
'(%08+)',
'(%09+)'
);
$inject = join('|', $injections);
$inject = "/$inject/i";
if (preg_match($inject,$str)) {
return true;
} else {
return false;
}
}
顺便说一句,很惊讶目前没有邮件注入/电子邮件注入的标签。
【问题讨论】:
-
您是在页面上显示来自电子邮件的数据,还是制作允许发送的表单?
-
不... 制作表格以发送电子邮件。 :)
-
我认为您可以对电子邮件正文进行 base64 编码(通过 MIME)以避免任何形式的注入攻击。
标签: php code-injection