Email Injection
95 views
We kennen allemaal het begrip mySQL Injection. Maar er is ook Email Injection. Misschien wel interessant om het te bekijken. Lees hier verder. (Engels)
Hmm als je een goede mailchecker hebt heb je er geen last van anders moet je idd oppassen
thijs schreef op 24.10.2005 13:39Hmm als je een goede mailchecker hebt heb je er geen last van anders moet je idd oppassen
En wat is een goede mailchecker?
Deze gebruik in in mijn contact script:
http://php.ferket.net/contact.php
<?
// Mail Checker
function checkmail($mail)
{
$email_host = explode("@", $mail);
$email_host = $email_host['1'];
$email_resolved = gethostbyname($email_host);
if ($email_resolved != $email_host && eregi("^[0-9a-z]([-_.~]?[0-9a-z])*@[0-9a-z]([-.]?[0-9a-z])*\\.[a-z]{2,4}$",$mail))
$valid = 1;
return $valid;
}
?>
Probeer maar eens een email injection
Edit
<?
if((empty($email)) OR (strlen($email) < 7) OR (strlen($email) > 50) OR (checkmail($email) == 0))
{
// fout
}
else
{
// GOED
}
?>
http://php.ferket.net/contact.php
<?
// Mail Checker
function checkmail($mail)
{
$email_host = explode("@", $mail);
$email_host = $email_host['1'];
$email_resolved = gethostbyname($email_host);
if ($email_resolved != $email_host && eregi("^[0-9a-z]([-_.~]?[0-9a-z])*@[0-9a-z]([-.]?[0-9a-z])*\\.[a-z]{2,4}$",$mail))
$valid = 1;
return $valid;
}
?>
Probeer maar eens een email injection
Edit
<?
if((empty($email)) OR (strlen($email) < 7) OR (strlen($email) > 50) OR (checkmail($email) == 0))
{
// fout
}
else
{
// GOED
}
?>
Okee, dit checkt je ingevoerde emailveld. Maar zoals er op die site te lezen staat kan de injection op alle velden gebeuren. Dus die emailcheck dicht maar één gat.
Hmm zover had ik nog niet gelezen dat ga ik eens even testen
Heeft ooit iemand hier wel eens na gekeken? voor een oplossing dan?!
ze zijn bij mij nu aan het klooien geweest! helaas
Wat ze bij mij doen is het formulier omzeilen en gelijk in de mailer posten
dat kan ik dus afvangen met een check op een post of een sessionID of niet?
en de rest kan je afvangen met de code op php.net (per var)
<?php
$from = $_POST["sender"];
$from = urldecode($from);
if (eregi("\r",$from) || eregi("\n",$from)){
die("Why ?? :(");
}
?>
of ben ik nu gek aan het type? :)
ze zijn bij mij nu aan het klooien geweest! helaas
Wat ze bij mij doen is het formulier omzeilen en gelijk in de mailer posten
dat kan ik dus afvangen met een check op een post of een sessionID of niet?
en de rest kan je afvangen met de code op php.net (per var)
<?php
$from = $_POST["sender"];
$from = urldecode($from);
if (eregi("\r",$from) || eregi("\n",$from)){
die("Why ?? :(");
}
?>
of ben ik nu gek aan het type? :)
Thankz