https://www.opennet.ru/openforum/vsluhforumID3/37142.html В PHP 5.2.1 и 5.2.0 обнаружена возможность (http://www.securityfocus.com/bid/23359) вставки символа новой строки через email адрес переданный в функцию отправки сообщения. Ошибка в regex выражении для проверки валидности email адреса в фильтре ext/filter (функция filter_var с параметром FILTER_VALIDATE_EMAIL), позволяет добавить дополнительные заголовки в тело письма, что может быть использовано для массовой рассылки спама через различные web-формы.<br><br><br>Проблема связана с отсутствием D модификатора в сочетании с символом проверки конца строки $ (если поставить \n - то выражение после \n не попадет в область видимости регулярного выражения) в PCRE выражениях используемых в ext/filter, также отмечается, что ошибка типична для большого числа скриптов в которых используется функция preg_match().<br><br>URL: http://www.securityfocus.com/bid/23359<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=10401<br> https://www.opennet.ru/openforum/vsluhforumID3/37142.html#18 Thu, 12 Apr 2007 07:08:18 GMT &gt;FILTER_VALIDATE_EMAIL лишь одно проявление глобальной проблемы, которая больше с криворукостью связана, чем с PHP.<br><br>Вполне согласен, достаточно просто от этого защититься:<br>filter_var(trim($var), FILTER_VALIDATE_EMAIL);<br><br>И все проблемы как рукой снимет. https://www.opennet.ru/openforum/vsluhforumID3/37142.html#17 Wed, 11 Apr 2007 10:14:12 GMT А еще через пару месяцев, когда программист становится НОРМАЛЬНЫМ он прекращает использовать PHP (ака Basic for WEB) совсем. https://www.opennet.ru/openforum/vsluhforumID3/37142.html#16 Tue, 10 Apr 2007 19:58:36 GMT filter_var это такое нововведение в PHP5? https://www.opennet.ru/openforum/vsluhforumID3/37142.html#15 Tue, 10 Apr 2007 08:32:01 GMT А ты preg_match ищи: Results 1 - 10 of about 49,300.<br><br>FILTER_VALIDATE_EMAIL лишь одно проявление глобальной проблемы, которая больше с криворукостью связана, чем с PHP. <br><br>На perl тоже полно штучек, очень часто пишут /$user_var/ вместо /\Q$user_var\E/. Если в $user_var подставить "?{ system(qw(ls -al /)); }" будет "Ой".<br> https://www.opennet.ru/openforum/vsluhforumID3/37142.html#14 Tue, 10 Apr 2007 07:24:21 GMT Одним смешно, другим не смешно. :) :( <br>http://www.google.com/codesearch?q=FILTER_VALIDATE_EMAIL&hl=en&btnG=Search+Code<br>Проблема вообще мизерная. Проектов которые юзают jelix, мало. Сайтов написанных на Solar тоже. Домашние поделки по определению не используют эту фичу. https://www.opennet.ru/openforum/vsluhforumID3/37142.html#13 Tue, 10 Apr 2007 06:53:56 GMT Коллеги, просвятите плз - это на mod_php как-то распостраняется? https://www.opennet.ru/openforum/vsluhforumID3/37142.html#12 Mon, 09 Apr 2007 19:27:19 GMT Больше всего меня улыбает читая новости на опеннете, это очередные вести о дырках. Прочитав в рссах заголовок новости, тут же кинулся посмотреть, что скажут пхписты. Первый коммент выразил я думаю всеобщее настроение)) https://www.opennet.ru/openforum/vsluhforumID3/37142.html#11 Mon, 09 Apr 2007 14:08:16 GMT &gt; А что мешает использовать собственный валидатор? Религия не позволяет?<br><br>Esli kazhdiy budet pisat' sobstvenniy validator mi daleko ne uidem v etom mire :)<br><br>&gt; В особо критичных случаях можно и нужно перепроверять получателя по SMTP<br><br>A vot eto voobche durnoy ton. "перепроверять" nikogda nichego ne nuzhno. Nuzhno "proveryat'" odin raz, i navsegda :) Ne doveryaete biblioteke? Voz'mite druguyu. https://www.opennet.ru/openforum/vsluhforumID3/37142.html#10 Mon, 09 Apr 2007 13:24:02 GMT А что мешает использовать собственный валидатор? Религия не позволяет? Как правило у любого нормального программиста через пару месяцев есть готовые валидаторы практичекси на всё к тому же отлаженые. Уязвимость для script-kidy программистов, своё писать надо, а не доверять существующему. В особо критичных случаях можно и нужно перепроверять получателя по SMTP.