Direcciones de correo electrónico válidas: XSS y SQL Injection

Question

Dado que hay tantos caracteres válidos para direcciones de correo electrónico, ¿hay direcciones de correo electrónico válidas que en sí mismas pueden ser ataques XSS o inyecciones de SQL? No pude encontrar ninguna información sobre esto en la web.

La parte local de la dirección de correo electrónico puede utilizar cualquiera de estos caracteres ASCII:

• mayúsculas y letras inglesas en minúsculas (a-z, A-Z)
• dígitos 0 a 9
• Personajes! # $% & '* + -/=?^_ `{| } ~
• Personaje. (punto, punto, punto) siempre que no sea el último carácter , y siempre que no aparezca dos o más veces consecutivas (por ejemplo, John..Doe @ example.com).

http://en.wikipedia.org/wiki/E-mail_address#RFC_specification

No te pido cómo prevenir estos ataques (ya estoy usando consultas parametrizadas y escapar/purificador de HTML), esto es más una prueba de concepto.

Lo primero que me vino a la mente fue 'OR 1=1--@gmail.com, excepto que los espacios no están permitidos. ¿Todas las inyecciones de SQL requieren espacios?

Answer 1

espacios si están entre comillas, sin embargo, por lo "'OR 1=1--"@gmail.com es una dirección válida de correo electrónico. Además, es probable que sea una preocupación menor, pero técnicamente hablando, estos son los dos direcciones de correo electrónico válidas:

' BAD SQL STUFF -- <fake@ryanbrunner.com> 
fake@ryanbrunner.com (' BAD SQL STUFF --) 

Incluso si esto no fuera posible, todavía no hay una razón que usted no debe utilizar consultas paramaterized y codificando todos los datos ingresados ​​por el usuario mostrados a los usuarios.

Answer 2

/^[a-z0-9.-_+]@[a-z0-9.-]$/i 

Creo que coincide como el 99,9999% de todas las direcciones de correo electrónico;) se les permite