Gültige E-Mail-Adressen - XSS und SQL-Injection
Da gibt es so viele gültige Zeichen für E-Mail-Adressen, gibt es gültig E-Mail-Adressen können in selbst XSS-Attacken oder SQL-injections? Ich konnte nicht finden alle Informationen dazu auf der web.
Den local-part der e-mail-Adresse
können alle diese ASCII-Zeichen:
- Groß-und Kleinbuchstaben Buchstaben des englischen Alphabets (a–z, a–Z)
- Ziffern 0 bis 9
- Zeichen ! # $ % & ' * + - /= ? ^ _ ` { | } ~
- Charakter . (Punkt, Punkt, Punkt), vorausgesetzt, dass es nicht das Letzte
Charakter, und vorausgesetzt auch, dass es nicht erscheint, zwei oder
mehrmals hintereinander (z.B. [email protected]).
http://en.wikipedia.org/wiki/E-mail_address#RFC_specification
Ich bin nicht zu Fragen, wie um zu verhindern, dass diese Angriffe (ich bin schon mit parametrisierten Abfragen und Flucht - /HTML-purifier), das ist mehr ein proof-of-concept.
Das erste, was mir einfiel, war 'OR [email protected]
, außer, dass Leerzeichen nicht erlaubt sind. Tun alle SQL-Injektionen erfordern Räume?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Leerzeichen sind erlaubt, wenn Sie in Anführungszeichen eingeschlossen, jedoch so
"'OR 1=1--"@gmail.com
ist eine gültige e-mail-Adresse. Außerdem ist es wahrscheinlich weniger ein Problem, aber technisch gesehen, sind beide gültige e-mail-Adressen:Selbst wenn dies war nicht möglich, gibt es noch keinen Grund, dass Sie sollten nicht mit paramaterized Abfragen und Codierung werden alle vom Benutzer eingegebenen Daten dem Benutzer angezeigt.
ich denke, dass Spiele wie 99.9999% aller E-Mail-Adressen 😉