- 74 名前:nobodyさん [2013/02/06(水) 10:54:39.67 ID:iK+N837t]
- 今、オープンソースのプログラムを見て勉強しているんですが、
mail関数の前に受け取った情報が全てstrip_tagsで処理されています。
第四パラメーターのヘッダー(From:)は
filter_var($input_email, FILTER_VALIDATE_EMAIL)
で処理されているようです。
strip_tagsを使用しなければいけないどんな脆弱性があるのでしょうか?
具体的にはこんな感じです。
$input_name = strip_tags($_POST['name']);
$input_email = strip_tags($_POST['email']);
$input_subject = strip_tags($_POST['subject']);
$input_message = strip_tags($_POST['message']);
if(!filter_var($input_email, FILTER_VALIDATE_EMAIL)) die;
$subject = "$input_subject $input_name from $input_name";
mb_send_mail($your_email_address, $subject, $input_message, "From: $input_email");
|
 |
