email-injection

0熱度

3回答

一位客戶聯繫我們，擔心近期有一些企圖在她的網站上濫用聯繫我們表單。顯然，有人試圖在消息字段中編寫一些代碼，很可能是爲了垃圾郵件目的而使用後端腳本（使用這些時髦標頭的電子郵件注入）。目前，安全就緒是一個JavaScript文件，它在提交之前驗證表單。後端沒有任何檢查。所以，我添加了一些驗證在後端，只是一些簡單的東西，比如： $namePattern = '/^[a-z0-9()\/\'":\*

7熱度

1回答

使用Swiftmailer的PHP驅動的HTML聯繫表格有多安全？

我在我的網站上有一個PHP驅動的HTML聯繫表單。目前我使用PHP mail()功能。因此，我必須做許多用戶輸入驗證，以避免email header injection attacks。我認爲我很安全，但我可能忘記了一些東西，我想轉移到一個可靠的PHP電子郵件庫。我選擇的圖書館是Swiftmailer。現在我要檢查，如果Swiftmailer解決以下問題：除去或逃避發件人名稱<和>字符。刪除

8熱度

4回答

正確防止PHP中的郵件注入

您能否告訴我如何在不丟失原始郵件數據的情況下防止在中使用email injection？例如。如果我需要允許用戶使用\r\n,To,CC等，所以我不想將它們從消息中完全剝離 - 我仍然希望它們交付，但不添加任何附加頭或以某種方式允許郵件注入發生。大多數互聯網上的建議都建議完全剝離這些數據 - 但我不想這樣做。我通過PHP mail()函數發送純文本（非HTML）消息。你會建議什麼？