Este sitio explica muy bien el problema. Esencialmente, casi todos los ejemplos de php mail () que se dan son vulnerables a los ataques de inyección de encabezado. El sitio al que se hace referencia proporciona una solución de saneamiento de expresiones regulares, pero no estoy satisfecho con ella. ¿Hay una función integrada de saneamiento de cabecera? ¿Qué tendría que hacer uno para protegerse realmente contra este tipo de ataque?
Así es como pear lo hace en su paquete de correo:
function _sanitizeHeaders(&$headers)
{
foreach ($headers as $key => $value) {
$headers[$key] =
preg_replace('=((<CR>|<LF>|0x0A/%0A|0x0D/%0D|\n|\r)\S).*=i',
null, $value);
}
}
Obviamente, para que este método se adapte para que funcione con la función de correo () incorporada, será necesario realizar algunos trabajos. En lugar de trabajar con matrices asociativas para encabezados, la función mail () solo acepta una cadena. Por lo tanto, usted (el usuario de mail ()) tendría que desinfectar cada parte del encabezado similar a la anterior a medida que construye la cadena de encabezados.
Me gustaría escuchar en los comentarios si esto realmente cubre todas las amenazas de inyección (de aquellas que tienen más experiencia con temas como este).
Claramente, nunca puedes confiar en los datos de los usuarios. La solución no es confiar en la limpieza adecuada en la función de encabezado, sino que nunca confíe en los datos DIRTY de sus usuarios.
No importa cuándo y cómo, pero si sus datos provienen de fuera, debe limpiarlos. En este ejemplo, un simple / escaparía del carácter / n, y el ataque no funcionaría.
Lea otras preguntas en las etiquetas source-code appsec email php injection