Adresse de courrier Électronique valide - XSS et de l'Injection SQL
Car il ya tellement de nombreux caractères valides pour les adresses e-mail, il y a aucune valide adresses e-mail qui peut en être eux-mêmes des attaques XSS ou des injections SQL? Je ne pouvais pas trouver toutes les informations sur cette opération sur le web.
Le cadre de l'e-mail
peut utiliser l'un de ces caractères ASCII:
- Les minuscules et les majuscules en anglais des lettres (a–z, A–Z)
- Chiffres de 0 à 9
- Personnages ! # $ % & ' * + - /= ? ^ _ ` { | } ~
- Caractère . (dot, période, l'arrêt complet) à condition qu'elle ne soit pas la dernière
caractère, et à condition également qu'il ne semble pas deux ou
plusieurs fois de suite (ex. [email protected]).
http://en.wikipedia.org/wiki/E-mail_address#RFC_specification
Je ne demande pas comment faire pour empêcher ces attaques (je suis déjà paramétrées à l'aide de requêtes et d'échapper à/HTML purificateur), ce n'est plus un proof-of-concept.
La première chose qui m'est venue à l'esprit était 'OR [email protected]
, sauf que les espaces ne sont pas autorisés. Faire toutes les injections SQL requiert des espaces?
OriginalL'auteur Lotus Notes | 2010-05-27
Vous devez vous connecter pour publier un commentaire.
Les espaces sont autorisés s'ils sont mis entre guillemets, cependant, de sorte
"'OR 1=1--"@gmail.com
est une adresse e-mail valide. Aussi, il est probablement moins d'inquiétude, mais techniquement parlant, ils sont tous les deux valides adresses e-mail:Même si ce n'était pas possible, il n'y a toujours pas de raison que vous ne devriez pas être à l'aide de paramaterized requêtes et l'encodage de tous les utilisateur saisi les données affichées pour les utilisateurs.
OriginalL'auteur Ryan Brunner
je pense que les matchs comme 99.9999% de l'ensemble des adresses emails 😉
OriginalL'auteur Toby