phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Mail Header Injection

Andreas Ahlenstorf lists at ahlenstorf.ch
Die Feb 28 14:32:56 CET 2006

Vorherige Nachricht: [php] Mail Header Injection
Nächste Nachricht: [php] Session-Lifetime
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Am 28.02.2006 um 13:32 schrieb Thorsten Koch:

> ihre Benutzereingabevalidierungsfunktionen (was für ein Wort) aktuell
> halten. Das wäre doch viel sachdienlicher und macht die PHP  
> Anwendungen
> sicherer (die darauf aussetzen).

Mir musst du das nicht sagen, ich hätte sonst nicht den Patch gemacht 
[1]. Überzeugt werden müssen die Entwickler von PEAR::Mail. Das  
kannst du auf http://pear.php.net/bugs/bug.php?id=6229 tun. Zudem  
kann man den Patch testen, verbessern und gegebenenfalls etwas  
ausweiten. Werner hat bereits die Regex erweitert und ich denke  
darüber nach, gewisse Header wie To: oder From: noch durch die RFC822- 
Prüfung zu schicken.

Gruss,
Andreas

[1] Egal, wie man selber genau Sicherheit implementiert (z.B. auf  
einer Ebene, auf mehreren Ebenen o.ä.), denke ich, dass jedes PEAR- 
Paket von Haus aus entsprechend gesichert sein sollte. Es gibt viele  
Programmierer, die Pakete wie PEAR::Mail allein einsetzen und gar  
nicht das nötige Wissen haben, um jeden Fall von Header-Injection in  
den Griff zu kriegen und damit offene Scripte haben.

Vorherige Nachricht: [php] Mail Header Injection
Nächste Nachricht: [php] Session-Lifetime
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive