“
- 僕が「ホワイトリスト」を採用しなかった訳 - ockeghem(徳丸浩)の日記 (via otsune)
RFC5322に適合したメールアドレスの中には、SQLインジェクション攻撃が可能なメールアドレスがあり得ます。たとえば、以下がそれです。
'or'1'='1'#@tokumaru.org
このメールアドレスはメールのRFCに準拠しているだけでなく、実際に送受信が可能であることを確認しました。Gmail→Postfix→Dovecot→Becky!というルートでメールを送ってみましたが、特にエラーなくBecky!で受信できました
”- 僕が「ホワイトリスト」を採用しなかった訳 - ockeghem(徳丸浩)の日記 (via otsune)