Địa chỉ email hợp lệ - XSS và SQL Injection

Question

Vì có quá nhiều ký tự hợp lệ cho địa chỉ email, có địa chỉ email hợp lệ nào có thể là tấn công XSS hoặc tiêm SQL không? Tôi không thể tìm thấy bất kỳ thông tin nào về điều này trên web.

Các địa phương phần của địa chỉ e-mail có thể sử dụng bất kỳ các ký tự ASCII:

• Chữ hoa và chữ cái tiếng Anh chữ thường (a-z, A-Z)
• chữ số 0 đến 9
• Ký tự! # $% & '* + -/=?^_ `{| } ~
• Ký tự. (dấu chấm, dấu chấm, dấu chấm đầy đủ) miễn là nó không phải là ký tự cuối cùng và cũng được cung cấp rằng nó không xuất hiện hai hoặc lần nữa liên tiếp (ví dụ: John..Doe @ example.com).

http://en.wikipedia.org/wiki/E-mail_address#RFC_specification

Tôi không yêu cầu làm thế nào để ngăn chặn các cuộc tấn công (Tôi đã sử dụng các truy vấn parametrized và thoát/lọc HTML), đây là thêm một khái niệm bằng chứng-of-.

Điều đầu tiên xuất hiện trong đầu là 'OR 1=1--@gmail.com, ngoại trừ không gian đó không được phép. Tất cả các lần tiêm SQL có cần không gian?

Answer 1

Spaces được phép nếu chúng được đặt trong dấu ngoặc kép, tuy nhiên, vì vậy "'OR 1=1--"@gmail.com là một địa chỉ e-mail hợp lệ. Ngoài ra, nó có thể là ít hơn của một mối quan tâm, nhưng nói về mặt kỹ thuật, đây là cả hai địa chỉ e-mail hợp lệ:

' BAD SQL STUFF -- <fake@ryanbrunner.com> 
fake@ryanbrunner.com (' BAD SQL STUFF --) 

Thậm chí nếu điều này là không thể, vẫn còn có lý do gì mà bạn không nên sử dụng các truy vấn paramaterized và mã hóa tất cả dữ liệu do người dùng nhập được hiển thị cho người dùng.

Answer 2

/^[a-z0-9.-_+]@[a-z0-9.-]$/i 

tôi nghĩ rằng phù hợp như 99,9999% của tất cả các địa chỉ email;)