[php] Mail Header Injection

[Lutz Zetzsche]

Hallo Werner,

Am Samstag, 25. Februar 2006 00:31 schrieb Werner M. Krauss:
> weis jemand, ob PEAR::Mail bzw. PEAR::Mail_Mime eine automatische
> header injection Filterung haben? Ich kann leider nix dazu in der
> Doku finden.

"Mail Header Injection" ist natürlich ein tolles Schlagwort, aber was da 
hintersteckt, ist ja eigentlich ganz simpel. Die Abwehr auch. Saubere 
Validierung von Benutzereingaben nach Feldern... Macht man das mit 
allen Benutzereingaben, taucht dieses spezielle Problem gar nicht erst 
auf.

Warum guckst Du zur Beantwortung Deiner Frage nicht einfach mal in den 
Quelltext der PEAR-Pakete rein? Ist doch Open Source. :-) Ich habe mir 
auch abgewöhnt, vor dem Quelltext anderer vor Ehrfurcht zu erstarren. 
Frech reingucken. :-D

Oder andere Möglichkeit: Einfach mal "Mail Header Injection" mit den 
Paketen ausprobieren. Dann wirst Du schon sehen, ob das geht. :-)

Aber wie schon in dem Link steht, den Andreas geschickt hat: 
Benutzereingaben zu validieren, ist eigentlich Aufgabe des 
Programmierers. Die Daten müßten von Dir schon längst geprüft und 
bereinigt sein, bevor sie irgendwo im Skript verwendet werden, d.h. 
z.B. bei PEAR::Mail ankommen.


Viele Grüße
Lutz