メール本文の変数を引用/エスケープする

Question

変数をエスケープしないでPHPでメール本文を生成しているので、ちょっと気分が悪いです。 HTMLでは、htmlspecialchars（）または類似の関数をコマンドラインescapeshellarg（）に使用していますが、メールには使用していますか？例えば、このような何か：

<?php 
$usercontent = $_GET['usercontent']; 
mail("dummy@nowhere.tld", "My Subject", "My body with $usercontent included"); 
?> 

可能攻撃者は、上記のようなスクリプトで何ができ、どのように私はそのような攻撃から守ることができますか？または、PHP mail（）を保存して、なぜですか？

更新

例を参照してください：（ヘッダーがありません！）

のContent-Typeはテキストです/無地本体のみが影響を受けている

• にいくつかの証拠を答えは素敵です
• MTAは "/ usr/sbin/sendmail -t -i"を持つpostfix sendmailです

Answer 1

あなたのメールにHTMLが含まれていれば誰かがメールにそれを挿入できるので、XSS atackに対しては保護されていません。

正常に動作することは、期待するデータをチェックして有効であることです。もし私があなたなら、私はこの文字列を逃れるでしょう。それは何も費用がかからず、あなたがそれを使用しないことの結果を心配する必要はありません。

Answer 2

良い質問です。私はあなたが本文をエスケープする必要はないと信じていますが、ユーザーがアドレスを入力できるようにすると、BCCのようなメールにヘッダーを追加することは可能です。したがって、変数を入れた場合は、追加のヘッダーが追加されていないことを確認するために改行（\nと\r）を必ず確認してください。

Answer 3

基本的な電子メール本文はプレーンテキストです。 HTMLやマルチパートメッセージのような別のタイプが必要な場合は、MIME拡張子を使用して、Content-Typeを使用してタイプを指定する必要があります（HTMLの場合はtext/html、マルチパートメッセージの場合はmultipart/…など）。

セキュリティ上の観点から、有害なものを注入する方法はありません（少なくとも仕様ごとではありません）。使用されている文字エンコーディングが宣言されていないにもかかわらず、ASCII以外の文字でも正しく処理されるはずです。

しかし、このように悪用される可能性のある電子メールクライアントにはいくつかの欠陥が存在する可能性があります。しかし、私はそれを疑う。

Answer 4

このメールの本文をこのように考えてみましょう。「ミッションの秘密の宛先は不明です。どのような種類のクライアントがメッセージを読むのかわからないかもしれませんが、ライブでユーザーが提供するエスケープされていないHTMLを表示させたくないと推測できます。多くのクライアントがHTMLでメールを読むので、最も良いことはhtmlentities()のユーザーが提供したメール本文になることです。

私のエスケープクラスのメソッド。

<?php 
class escaper 
{ 
    public function superHtmlEntities($string) 
    { 
     return htmlentities($string, ENT_QUOTES | ENT_HTML5, 'UTF-8', true); 
    } 
} 
?> 

========================================

最低限、あなたがあなたの研究をするときに、これ以上のものを考えてみてください。

<?php 
$esc = new Escaper(); 

$usercontent = $_GET['usercontent']; 
mail("dummy@nowhere.tld", "My Subject", $esc->superHtmlEntities("My body with $usercontent included")); 
?>