第11章 高度なプログラミング / 第4回 模擬試験
PHPのメールヘッダーインジェクションに関する次の記述のうち、正しいものはどれか。
メールヘッダーインジェクションは、改行コードを悪用してメールヘッダーに不正な内容を追加する攻撃である。
正解
メールヘッダーインジェクションはデータベースに対する攻撃の一種である。
メールヘッダーインジェクションはPHPでは原理的に発生し得ない。
メールヘッダーインジェクション対策には、入力値の改行コード除去が無関係である。
解説
メールヘッダーインジェクションは、フォーム入力などに含まれる改行コードを悪用し、不正なヘッダー(BCC追加など)を注入する攻撃です。改行コードの除去・検証が対策になります。(参照: 独習PHP 第4版 第11章 高度なプログラミング 11.2.5節 メールヘッダーインジェクション p.611〜613)