Adresse de courrier Électronique valide - XSS et de l'Injection SQL

Car il ya tellement de nombreux caractères valides pour les adresses e-mail, il y a aucune valide adresses e-mail qui peut en être eux-mêmes des attaques XSS ou des injections SQL? Je ne pouvais pas trouver toutes les informations sur cette opération sur le web.

Le cadre de l'e-mail
peut utiliser l'un de ces caractères ASCII:

  • Les minuscules et les majuscules en anglais des lettres (a–z, A–Z)
  • Chiffres de 0 à 9
  • Personnages ! # $ % & ' * + - /= ? ^ _ ` { | } ~
  • Caractère . (dot, période, l'arrêt complet) à condition qu'elle ne soit pas la dernière
    caractère, et à condition également qu'il ne semble pas deux ou
    plusieurs fois de suite (ex. [email protected]).

http://en.wikipedia.org/wiki/E-mail_address#RFC_specification

Je ne demande pas comment faire pour empêcher ces attaques (je suis déjà paramétrées à l'aide de requêtes et d'échapper à/HTML purificateur), ce n'est plus un proof-of-concept.

La première chose qui m'est venue à l'esprit était 'OR [email protected], sauf que les espaces ne sont pas autorisés. Faire toutes les injections SQL requiert des espaces?

OriginalL'auteur Lotus Notes | 2010-05-27

  1. 12

    Les espaces sont autorisés s'ils sont mis entre guillemets, cependant, de sorte "'OR 1=1--"@gmail.com est une adresse e-mail valide. Aussi, il est probablement moins d'inquiétude, mais techniquement parlant, ils sont tous les deux valides adresses e-mail:

    ' BAD SQL STUFF -- <[email protected]>
[email protected] (' BAD SQL STUFF --)

    Même si ce n'était pas possible, il n'y a toujours pas de raison que vous ne devriez pas être à l'aide de paramaterized requêtes et l'encodage de tous les utilisateur saisi les données affichées pour les utilisateurs.

    Pouvez utiliser isemail.info pour vérifier l'adresse électronique que vous aimez, ou sinon, il suffit de tester avec un filtre sur injectable adresses e-mail par le biais de certaines fonctions php comme filtre de valider l'e-mail. Basé sur isemail.info la première adresse est invalide, et la deuxième adresse est "l'Adresse est valide dans le message, mais ne peut pas être utilisé sans modification de l'enveloppe"

    OriginalL'auteur Ryan Brunner

  2. -5
    /^[a-z0-9.-_+]@[a-z0-9.-]$/i

    je pense que les matchs comme 99.9999% de l'ensemble des adresses emails 😉

    btw. c'est uniquement pour vérifier si le texte n'est pas emballé avec xss/sql injections etc. - ce n'est pas une manière de valider une adresse e-mail.

    OriginalL'auteur Toby