К примеру в яндексе, что e-mail@yandex.ru, что e-mail@yandex.com, что e-mail@yandex.by и т.д. это по сути одна почта!
А вот на сайте можно зарегистрироваться под всемя тремя e-mail'ами!
Думал ли кто-нибудь об этом?
Zzepish
4.08.2013 - 22:57
Учту эту дыру в безопасности. Еще один камень в сторону яндекса
Zzepish, да у многих сервисов есть такая фиговина!
Zzepish
, какая еще дыра в безопасности? Открою страшную тайну еще они не чувствительны к регистру, а так же гугл игнорирует точки в адресах (т.е. my.email@gmail.com === myemail@gmail.com === MyEmail@gamil.com), и
| Цитата |
| Для логинов и почтовых адресов на Яндексе точка и дефис — символы взаимозаменяемые, то есть, у вашего ящика с адресом «moy.adres@yandex.ru» есть синоним с адресом «moy-adres@yandex.ru». Письма, отправленные на любой из них, придут в Ваш почтовый ящик. |
, а сейчас давай рассмотрим пример!
Я вот зарегистрировался на сайте под mail@yandex.ru, подтвердил почту и всё такое.... Посл я на этом сайте опять же регистрируюсь под mail@yandex.com... Регистрация проходит успешно, ведь в БД не найден такой емаил!
Вот и получается, что зарегистрированно 2 аккаунта на 1 email.
if (strlen($form['email']) < 5 || strlen($form['email']) > 100)
$error[] = ERROR_EMAIL_LEN;
elseif (!filter_var($form['email'], FILTER_VALIDATE_EMAIL))
$error[] = ERROR_EMAIL_FAlSE;
else
{
$email_reg = q("SELECT `id`
FROM `". BD_PR ."user`
WHERE `email` = '". mysql_real_escape_string($form['email']) ."'");
if (mysql_num_rows($email_reg))
$error[] = ERROR_FOUND_EMAIL;
}
скрипт работает у всех примерно так
123456, и что мы увидели из этого примера? Я утверждал лишь то, что почтовые сервисы создают алиасы адресов не только с другими доменами, но и плюс к этому у них еще есть какие-то правила для определения уникальности email'a.
123456
А еще в email можно указать "+alias" и все это будет игнорироваться.
Письма приходящие на:
mail@yandex.ru
mail+qwe@yandex.ru
mail+test@yandex.ru
mail+mail@yandex.ru
Будут приходить на один email
Я вот скачал скрипт из этой темы
http://phpforum.su/index.php?showtopic=20464Захотел посмотреть как там регистрация проходит. А там вообще нет проверки email в бд
ну и как быть? что, проверку на существование email в БД можно даже не делать?
DedMorozzz
5.08.2013 - 12:29
| Цитата (123456 @ 5.08.2013 - 10:45) |
| ну и как быть? что, проверку на существование email в БД можно даже не делать? |
Кастомную проверку для самых популярных сервисов
И уверен, что поискав в гугле - уже будут готовые решения
Как уже выше сказали - гугл точки не учитывает. И даже мыло от гугла приходит на мой акк и точки там не пишет
Итого, на конкретных примерах - для яндекса достаточно проверить всё что до @.
Для гугла - сложнее, но можно при сохранении емейла - удалять все точки, которые до @, и при проверке - так же удалять
Но в целом - действительно разные "одинаковые" емейлы для разработчика - крайне не удобны
Но благо, что далеко не все знают, что mail@gmail.com == m.ail@gmail.com
И в итоге регают разные аккии
_____________
Если не говорить пользователям, что Linux это "Сложно и страшно", то им совершенно всё равно, в чём не разбираться
а кто как с этим борится?
DedMorozzz
5.08.2013 - 12:47
я ж написал выше - делать кастомную проверку для типов емейла
Если яндекс - проверять всё, кроме домена, к примеру ф-яй мускула - LEFT
Для гугла - при сохранении убирать все точки до собачки и проверять с существующими. Если норм - добавлять нового юзера и емейл в том числе
_____________
Если не говорить пользователям, что Linux это "Сложно и страшно", то им совершенно всё равно, в чём не разбираться
мы обсуждаем только гугл и яндекс. А ведь думаю во многих сервисах такие проблемы...
DedMorozzz
5.08.2013 - 12:51
на то она и кастомная, что для каждого типа своя. Если одинаковые признаки для разных сервисов, то можно объеденить в несколько типов и далее проверять к какому типу относится емейл и для этого типа делать проверки
_____________
Если не говорить пользователям, что Linux это "Сложно и страшно", то им совершенно всё равно, в чём не разбираться
Быстрый ответ:
Powered by dgreen
Здесь расположена полная версия этой страницы.