Поскольку существует так много допустимых символов для адресов электронной почты, существуют ли какие-либо действительные адреса электронной почты, которые сами по себе могут быть XSS-атаками или SQL-инъекциями? Я не нашел никакой информации об этом в сети.
Локальная часть адреса электронной почты может использовать любой из этих символов ASCII:
- Прописные и строчные английские буквы (a – z, A – Z)
- Цифры от 0 до 9
- Символы ! # $% & '* + - / =? ^ _ `{| } ~
- Характер . (точка, точка, точка) при условии, что это не последний символ, а также при условии, что он не появляется два или более раз подряд (например, John..Doe @ example.com).
http://en.wikipedia.org/wiki/E-mail_address#RFC_specification
Я не спрашиваю, как предотвратить эти атаки (я уже использую параметризованные запросы и экранирование / очиститель HTML), это скорее доказательство концепции.
Первое, что пришло в голову, это 'OR [email protected], за исключением того, что нельзя использовать пробелы. Все ли SQL-инъекции требуют пробелов?
