Насколько безопасна контактная форма HTML, управляемая PHP с помощью Swiftmailer быть?
У меня на сайте есть HTML-форма для связи с PHP. В настоящее время я использую функцию PHP mail () . Из-за этого мне приходится выполнять множество проверок вводимых пользователем данных, чтобы избежать атак путем внедрения заголовка электронной почты . Я думаю, что я в безопасности, но я, вероятно, что-то забыл и хочу перейти на надежную почтовую библиотеку PHP. Я выбрал библиотеку Swiftmailer .
Теперь я хочу проверить, адресует ли Swiftmailer следующее:
- Удаляет или экранирует символы
и>в имена отправителей. - Удаляет символы новой строки (
\ n,\ r \ n...) из имен отправителей. - Удаляет символы новой строки из темы сообщения электронной почты.
- Нормализовать новые строки в теле сообщения (содержании письма). Согласно документам PHP,
\ nследует использовать в содержании, а\ r \ nкак разделитель заголовков электронной почты.
PS: Я пытался связаться с командой Swiftmailer со своими вопросами безуспешно, поэтому я пытаюсь здесь.
Изменить:
Я выполнил несколько тестовых примеров со Swiftmailer, и вот что я нашел до сих пор:
- Когда у вас есть
или]>на имя отправителя вы получите сообщение электронной почты с ошибкой Недоставлено . Это может несколько привести к DOS-атаке вашего почтового сервера (возможно, я ошибаюсь). Это нормально?! - Новые строки экранируются, поэтому атака с помощью инъекции не выполняется.
- Новые строки экранируются, поэтому атака с помощью инъекции не выполняется.
- Протестировано, но я не могу увидеть, что делает Swiftmailer (если он что-то делает ). Так что я все еще в неведении.
Может кто-нибудь прояснить мне №1 и №4? Не уверен, что это нормальное поведение ...