Je me demande s'il y a un risque de sécurité potentiel du code suivant. Je l'utiliser sur mon blog chaque fois qu'un utilisateur soumet un commentaire, il me envoyer un message texte:Y a-t-il un risque d'injection dans la fonction mail() de PHP?
mail('[email protected]', '',
"Comment posted by $name: $comment",
"From: [email protected]");
Où $name
et $comment
sont des valeurs entrées par l'utilisateur qui n'ont pas vraiment été assainies en aucune façon. Est-il possible qu'un utilisateur puisse faire quelque chose de malveillant ici? La documentation de mail() ne dit rien à ce sujet, mais il est juste incorrect de coller des valeurs entrées par l'utilisateur directement dans une chaîne. Y a-t-il un risque réel ou suis-je simplement parano?
Je ne pense pas que quelque chose de malveillant puisse être fait mais vous devriez probablement limiter la longueur de certaines variables juste pour ne pas faire chier les gens. –
En note, vous citez 'cellnumber', donc je suppose que vous utilisez un service mail-to-SMS. Si vous êtes accusé de ces messages à un moment donné, peut-être que quelqu'un pourrait vous bombarder avec des milliers de commentaires et causer des dommages. –
Joli système que vous avez là. Je ne peux pas envoyer de sms via mail à mon téléphone :( – AntonioCS