問題タブ [header-injection]

ここで説明されているように、ヘッダーインジェクションに関するセクションを読みました: http://guides.rubyonrails.org/security.html。しかし、頭の中でこの例を段階的に見ていくことができないようです。リファラー ヘッダーを悪用すると、アプリケーションで問題が発生する可能性がある例を教えてもらえますか?

メール機能のphpのマニュアルページに、「ヘッダーインジェクションに気をつけて」というユーザーコメントがありました。

私のアプリケーションでは、mail 関数を使用しています。この関数へのパラメーターとして使用するユーザー入力は、電子メール アドレスだけです。

正規表現を使用してメールアドレスの事前チェックを行います^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]+)*(\.[a-z]{2,3})$。

これはヘッダーインジェクションも防ぎますか?

ありがとう、
ジュニア

コントローラーに次のコードを書きました。

ヘッダーインジェクションはありますか？

修正方法を教えてください。

PHPメールの連絡先フォームをきれいにするために、次のスクリプトを思いつきました。ここに入れておくべき推奨事項が他にないかどうか疑問に思っていました。これは、許可された文字のみを許可するように各フィールドをプレグマッチするため、コードのスニペットにすぎませんが、最初からインジェクションをクリーニングする限り、変更に関する推奨事項はありますか?

/r、/n、%0a、および %0d を含めていないことに気付きましたが、含めると、フォーム自体に投稿し、それらのフィールドに「エラー」および「無効」コメントを含めると、フォームに問題が発生します。オリジナルを含むエラーがあるので修正できます。また、とにかくフォームのコメント「テキスト領域」に入力と改行を許可したいです。

多くのチュートリアルを読んだ後、私は安全な側にいることを確認したい.

私はこのようなコンタクトフォーミュラーを作りました

名前とメッセージが空ではなく、スペースだけでなく、jQuery を介して検証します

次のスクリプトを使用してjquery経由でメールをチェックします

変数が渡され、mail.php を使用している場合、スクリプトの先頭で $_SERVER['HTTP_REFERER'] をチェックし、それらの変数が自分のスクリプトからのものかどうかを確認するだけで十分ですか? または、 $_SERVER 変数も変更できますか?

それとも、基本的に、渡されたすべての変数をもう一度チェックして、安全な側に置く必要がありますか?

例: http://www.w3schools.com/php/php_secure_mail.asp このスクリプトは注射に対して 100% 安全ですか?

私を助けてくれてありがとう:)

私は PHP の初心者ですが、機能する連絡先フォームを作成することができます。しかし、その後、メール ヘッダー インジェクションに気付きました。これを可能な限り最善の方法で防ぐにはどうすればよいですか？私のフォームが人々にスパムを送信するために使用されたくない.

これは私のコードです:

?>