[PHP-dev 1200] Re: mb_send_mail の引数のサニタイズについて

2005年 11月 18日 (金) 14:20:43 JST

　岩間です。こんにちは。

　先ほどのメールの件ですが、追加情報です。


> 　mb_send_mail() の引数に関してなんですが、mail() では行われて
> いる改行コードに対するサニタイズが行われていないようで、スクリ
> プト側でサニタイズをしていないスクリプトがスパムメール送信の踏
> み台にされていることが確認できました。

　この件ですが、

    ・Kent Web「PostMail」におけるメール第三者中継の脆弱性
      http://www.ipa.go.jp/security/vuln/documents/2005/JVN_25106961_PostMail.html

と同様の問題を持っています。

　元のメールでは、mail() ではサニタイズが行われている…と書きましたが、
additional_headers パラメータは素通りしてしまいますので、スクリプト側
でのサニタイズが必要になります。


　ではでは。

-- 
@YMC Corporation   / URL: http://www.ymc.ne.jp/
   Kazuhiko Iwama /  Tel: 0832-28-1193  Fax: 0832-28-1194
_________________/  Mail: iwama ＠ ymc.ne.jp