Q&A
ユーザがフォームに入力した文字列を、例えば以下のように
echo ${入力文字列} | mail -s 'タイトル' 宛先@yahoo.co.jp
などとして送る場合、意図しない危険な文字列が入力されるような気がしてなりません(XSSに似た脆弱性があるような気がします。知識不足で申し訳ないです。)
ユーザの入力した文字列を上記のコマンドで送信したいのですが、入力文字列をhtmlspecialcharsのような安全な文字列に変換する方法はありませんか?
また、上記のコマンドで考えられる危険性などあれば教えていただきたいです。
回答3件
0
メール本文であれば、危険な文字・文字列はありません。
(ただし、UTF-8以外のエンコードの日本語だと、意図通りには送られないでしょう)
しかし、コマンドをどうやって実行するかによって、シェル的な危険はあります。
PHP
1$foo = ";rm -rf /;echo"; 2system("echo $foo | mail -s 'タイトル' 宛先@yahoo.co.jp");
は駄目です。
PHP
1$foo = "';rm -rf /;echo '"; 2system("echo ".escapeshellarg($foo)." | mail -s 'タイトル' 宛先@yahoo.co.jp");
のようにしてください。
しかしそれより、
PHP
1$foo = "';rm -rf /;echo '"; 2$p = popen("mail -s 'タイトル' 宛先@yahoo.co.jp","w"); 3fwrite($p,$foo.PHP_EOL); 4pclose($p);
みたいに、シェルを介さずにpopenしたほうが良いと思います。
投稿2017/03/13 06:00
総合スコア85778
0
otnさんの回答で言い尽くされているのですが、敢えて指摘いたしますと、なぜmailコマンドでメール送信する必要があるのでしょうか? PHPのmail関数あるいはmb_send_mail関数を使ったほうが安全かと思います。その場合でも、内部的には sendmailコマンドが呼ばれるのですが、直接mailコマンドを呼ぶよりは安全です。
投稿2017/03/14 08:45
総合スコア11705
0
Eメールに関しては本質的な脆弱性があることから
自動スクリプトをが走らないような前提のメーラーがほとんどです。
また添付ファイルをあやまってクリックして実行するようなものも
ほぼウィルス対策ソフトで検出してくれますので
よほどのことがない限り変なことにはなりません。
ただし、リンクをクリックさせて不正請求するような前時代的な
詐欺まがいの手法もあるので、しらないメールアドレスからの
Eメールは開かないのが原則です
投稿2017/03/13 05:27
総合スコア116468
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/03/14 08:43
2017/03/14 12:40