PHP的mail()函数是否存在注入风险？

Question

我想知道以下代码是否存在任何潜在的安全风险。我在我的博客上使用此功能，每当用户提交评论时，它都会向我发送一条短信：

mail('[email protected]', '',
     "Comment posted by $name: $comment",
     "From: [email protected]");

其中 $name 和 $comment 是用户输入的值，但还没有确实以任何方式进行了消毒。用户是否有可能在这里做任何恶意的事情？ mail() 文档对此没有任何说明，但是将用户输入的值直接粘贴到字符串中感觉是错误的。是否存在任何真正的风险，或者我只是偏执？

Answer 1

只要我将所有用户资料保存在邮件正文中，就不会有注入的风险。

然而，一旦用户可以影响邮件标头，他们就可以注入额外的标头并执行诸如使用它向任意电子邮件地址发送垃圾邮件或包含完全不同的消息（包括附件）之类的操作。

如果您检查影响标题的部分中的换行符，并在出现时拒绝换行符，那么这就足够了。 SMTP 标准使用 CRLF 来分隔标题行，但据我所知，许多基于 Unix 的服务器希望您仅使用 LF （因为这是这些系统上的本机行分隔符）。然后，邮件中继器在向上游发送时对其进行转换。

Answer 2

请注意名称中的换行符。两个连续的（呃……请原谅我的英语，两个接一个的换行符）换行符在 SMTP 中意味着“标头结束”。

另外，序列“\n.\n”（仅带句点的空行）表示“消息结束”。

编辑：是的，存在垃圾邮件发送者的风险！如果 $name 实际上包含：（

 someonesName
 CC: [email protected]; [email protected]

即注入更多标头的内容）怎么办？

EDIT2：没有注意到“名称”和“评论”都在消息的正文部分中。那么我关于垃圾邮件发送者的想法是无效的。

Answer 3

PHP 充满了不安全的东西，但我不确定这里是否存在很多风险。

当然，太长的注释可能会超出您对消息大小的限制。这可能不会伤害你。

PHP 的 $XXX 语法扩展了字符串，但不会对 XXX 进行任何进一步的评估，不是吗？如果 $XXX 的工作方式类似于某种 eval()，那么您将进入远程代码执行的世界，但我认为情况并非如此。

如果这是在内部执行 SMTP，那么一行上的 . 后跟一个空行将表示邮件的结束，理论上攻击者可以在连续行中使用更多文本来劫持您的邮件邮件程序将其他消息邮寄给其他人。如果 PHP 一开始就无法识别并转义这样的字符串的话。这是我要调查的事情。