这可能有点菜鸟问题,抱歉。
这种代码没有任何安全漏洞吗?我一直在到处使用它,但想确保我不会留下漏洞。
$body = print_r($_POST, true);
mail($to, $subject, $body, $headers, "-f $from_address");
最佳答案
不,这不安全。
但您可能会逃脱它,因为您需要其他设置不当的系统来让黑客通过。
详情
电子邮件的“正常”安全问题是众所周知的:始终审查进入标题的任何内容以防止标题注入(inject);最简单的方法是删除换行符(或拒绝发送任何换行符:表示有人在进行黑客攻击/测试)。这不是您提出的问题。
然而,过去有 SMTP 注入(inject)的黑客攻击:您可以终止 SMTP 消息并通过明智地使用句号(句点)和 %0D %0A (CRLF) 和 MAIL TO: 命令来开始新消息。 SMTP 消息本身以句号结尾:添加起来相当简单。看这里:http://projects.webappsec.org/w/page/13246948/Mail%20Command%20Injection和 https://www.owasp.org/index.php/Testing_for_IMAP/SMTP_Injection_(OTG-INPVAL-012)
有一些防御措施:例如SMTP 服务器可以配置为不允许链接并将所有服务器视为一个。所以希望你是安全的。但可以肯定的是,看看你是否可以剥离出来。在自己的行上,并将 %0D %0A (CRLF) 转换为 %0A 以帮助消除风险(但请检查最后一个:您的结果可能会有所不同并且可能不合适)。
为了完整起见,还有 XSS 注入(inject)的可能性(即包括链接),但除非您点击链接,否则这是无害的。 Web 客户端可能会自动将纯文本链接转换为可点击链接:我想不出如何利用它,但总有办法:所以如果您担心的话,请检查链接。
只有当您发送一封包含多个部分的电子邮件并且用户/黑客知道边界分隔符时,才可以向现有电子邮件添加附件(如一个答案中所建议的那样);所以随机生成边框分隔符或发送纯文本(不是多部分)来避免这种情况。
如果您的情况恰到好处,您就有可能运行 Javascript。与附件一样,如果您要发送多部分邮件,您可以创建一个带有边框分隔符的 HTML 部分;所以随机更改您的边框分隔符并检查 HTML 标签。如果您使用的 Web 客户端允许以纯文本形式发送的 javascript 运行,那么您需要一个新的 Web 客户端(我真的怀疑是否有)。
这些是我很快就能想到的。
最简单的解决方案:使用库。众所周知的库旨在避免这些问题。您还可以通过查看源代码以及它们如何应对来获得更多建议。 Swiftmailer是我目前选择的图书馆。
关于php - 通过电子邮件发送 POST 的 print_r 没有任何安全漏洞,对吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22135162/
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚
尝试通过RVM将RubyGems升级到版本1.8.10并出现此错误:$rvmrubygemslatestRemovingoldRubygemsfiles...Installingrubygems-1.8.10forruby-1.9.2-p180...ERROR:Errorrunning'GEM_PATH="/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/ruby-1.9.2-p180@global:/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/rub
我正在使用puppet为ruby程序提供一组常量。我需要提供一组主机名,我的程序将对其进行迭代。在我之前使用的bash脚本中,我只是将它作为一个puppet变量hosts=>"host1,host2"我将其提供给bash脚本作为HOSTS=显然这对ruby不太适用——我需要它的格式hosts=["host1","host2"]自从phosts和putsmy_array.inspect提供输出["host1","host2"]我希望使用其中之一。不幸的是,我终其一生都无法弄清楚如何让它发挥作用。我尝试了以下各项:我发现某处他们指出我需要在函数调用前放置“function_”……这
是的,我知道最好使用webmock,但我想知道如何在RSpec中模拟此方法:defmethod_to_testurl=URI.parseurireq=Net::HTTP::Post.newurl.pathres=Net::HTTP.start(url.host,url.port)do|http|http.requestreq,foo:1endresend这是RSpec:let(:uri){'http://example.com'}specify'HTTPcall'dohttp=mock:httpNet::HTTP.stub!(:start).and_yieldhttphttp.shou
我正在编写一个gem,我必须在其中fork两个启动两个webrick服务器的进程。我想通过基类的类方法启动这个服务器,因为应该只有这两个服务器在运行,而不是多个。在运行时,我想调用这两个服务器上的一些方法来更改变量。我的问题是,我无法通过基类的类方法访问fork的实例变量。此外,我不能在我的基类中使用线程,因为在幕后我正在使用另一个不是线程安全的库。所以我必须将每个服务器派生到它自己的进程。我用类变量试过了,比如@@server。但是当我试图通过基类访问这个变量时,它是nil。我读到在Ruby中不可能在分支之间共享类变量,对吗?那么,还有其他解决办法吗?我考虑过使用单例,但我不确定这是
我知道您通常应该在Rails中使用新建/创建和编辑/更新之间的链接,但我有一个情况需要其他东西。无论如何我可以实现同样的连接吗?我有一个模型表单,我希望它发布数据(类似于新View如何发布到创建操作)。这是我的表格prohibitedthisjobfrombeingsaved: 最佳答案 使用:url选项。=form_for@job,:url=>company_path,:html=>{:method=>:post/:put} 关于ruby-on-rails-rails:Howtomak
我的最终目标是安装当前版本的RubyonRails。我在OSXMountainLion上运行。到目前为止,这是我的过程:已安装的RVM$\curl-Lhttps://get.rvm.io|bash-sstable检查已知(我假设已批准)安装$rvmlistknown我看到当前的稳定版本可用[ruby-]2.0.0[-p247]输入命令安装$rvminstall2.0.0-p247注意:我也试过这些安装命令$rvminstallruby-2.0.0-p247$rvminstallruby=2.0.0-p247我很快就无处可去了。结果:$rvminstall2.0.0-p247Search
我在理解Enumerator.new方法的工作原理时遇到了一些困难。假设文档中的示例:fib=Enumerator.newdo|y|a=b=1loopdoy[1,1,2,3,5,8,13,21,34,55]循环中断条件在哪里,它如何知道循环应该迭代多少次(因为它没有任何明确的中断条件并且看起来像无限循环)? 最佳答案 Enumerator使用Fibers在内部。您的示例等效于:require'fiber'fiber=Fiber.newdoa=b=1loopdoFiber.yieldaa,b=b,a+bendend10.times.m
我试图在索引页中创建一个超链接,但它没有显示,也没有给出任何错误。这是我的index.html.erb代码。ListingarticlesTitleTextssss我检查了我的路线,我认为它们也没有问题。PrefixVerbURIPatternController#Actionwelcome_indexGET/welcome/index(.:format)welcome#indexarticlesGET/articles(.:format)articles#indexPOST/articles(.:format)articles#createnew_articleGET/article
我正在阅读SandiMetz的POODR,并且遇到了一个我不太了解的编码原则。这是代码:classBicycleattr_reader:size,:chain,:tire_sizedefinitialize(args={})@size=args[:size]||1@chain=args[:chain]||2@tire_size=args[:tire_size]||3post_initialize(args)endendclassMountainBike此代码将为其各自的属性输出1,2,3,4,5。我不明白的是查找方法。当一辆山地自行车被实例化时,因为它没有自己的initialize方法