11
Naja, Rene Schmidt schreibt in der Anleitung:
Die eigentliche Maßnahme, die die Injection verhindert, ist demnach die Prüfung der Emailadresse auf ungültige Zeichen, denn durch diese werden auch Umbrüche entfernt, die eine Voraussetzung für eine Injection sind
Aber verkehrt ist es nicht, eine zweite Verteidigungslinie aufzuziehen - auch aus dem Grund, dass einem bei der ersten Verteidigungslinie auch mal ein Fehler unterlaufen könnte.
In zweiter Linie geht es noch darum, die boundary zu setzen - so ist ein Test der textareas vielleicht auch nicht uninteressant. Aber misstrauisch macht mich das natürlich auch, ob da nicht doch ein Einfallstor besteht, das ich nur noch nicht kenne
Ich wollte dir das auch nicht ausreden :). Ich versuche selbst auch nur ein wenig zu sortieren bei den unterschiedlichen Schutzmaßnahmen, die man im Netz findet
Zusätzlich werden bekannte Header-Felder wie "Cc:" oder "Bcc:" entfernt, um sicher zu gehen.
Die eigentliche Maßnahme, die die Injection verhindert, ist demnach die Prüfung der Emailadresse auf ungültige Zeichen, denn durch diese werden auch Umbrüche entfernt, die eine Voraussetzung für eine Injection sind
Aber verkehrt ist es nicht, eine zweite Verteidigungslinie aufzuziehen - auch aus dem Grund, dass einem bei der ersten Verteidigungslinie auch mal ein Fehler unterlaufen könnte.
Die Spamversuche (auch der Beispielinput von meinem Vorposting) waren auch im Message-Feld eingegeben worden.
In zweiter Linie geht es noch darum, die boundary zu setzen - so ist ein Test der textareas vielleicht auch nicht uninteressant. Aber misstrauisch macht mich das natürlich auch, ob da nicht doch ein Einfallstor besteht, das ich nur noch nicht kenne
ich befolge lieber die Ratschläge, als später draufzuzahlen ;)
Ich wollte dir das auch nicht ausreden :). Ich versuche selbst auch nur ein wenig zu sortieren bei den unterschiedlichen Schutzmaßnahmen, die man im Netz findet