使用Swiftmailer的PHP驱动的HTML联系表格有多安全？

Question

我在我的网站上有一个PHP驱动的HTML联系表单。目前我使用PHP mail()功能。因此，我必须做许多用户输入验证，以避免email header injection attacks。我认为我很安全，但我可能忘记了一些东西，我想转移到一个可靠的PHP电子邮件库。我选择的图书馆是Swiftmailer。

现在我要检查，如果Swiftmailer解决以下问题：

1. 除去或逃避发件人名称<和>字符。
2. 删除从发送者的名字换行符（\n，\r\n ...）。
3. 从电子邮件主题中删除或转义换行符。
4. 正常化换行符在消息主体（电子邮件的内容）。根据PHP文档，内容应使用\n，使用\r\n作为电子邮件标题分隔符。

PS：我试图联系Swiftmailer团队与我的问题没有成功，所以我在这里尝试。

编辑：

我做了一些测试用例Swiftmailer，这是我迄今发现：

1. 当你有一个<或>在发送者的名字，你会得到a Undeliverable电子邮件错误邮件。这可能会导致邮件服务器的DOS attack（可能我错了）。这是正常的吗？
2. 换行符被转义，所以注入攻击失败。
3. 换行符被转义，所以注入攻击失败。
4. 测试，但我无法看到Swiftmailer做什么（如果它的东西）。所以我仍然在黑暗中。

有人能澄清＃1和＃4我吗？我不知道这是否是正常的行为......

Answer 1

编辑：这个答案可能是过时的。在我写这篇文章时，SwiftMailer库存在一些问题。在这一点上，一切工作正常与SwiftMailer和被认为是比PHPMailer提供更多更好的图书馆。

我会建议你使用PHPMailer的。它是我使用过的最稳定的邮件库之一。这里是一个要工作的示例代码：

include("./phpmailer/class.phpmailer.php"); 
$mail = new PHPMailer(false); // the true param means it will throw exceptions on errors, which we need to catch 
$mail->IsSMTP(); 
$mail->Host = "YourDomainName.com"; 
$mail->SMTPDebug = 2; 
$mail->SMTPAuth = true; 
$mail->SMTPSecure = "tls"; 
$mail->Host = "YourSMTPMailServer.com"; 
$mail->Port = 587; 
$mail->Username = "your-auth-user@yoursmtpmailsercer.com"; 
$mail->Password = "password"; // GMAIL password 
$mail->AddAddress("sendToThis@email.com", '<< >> ! " Receiver Name'); 
$mail->SetFrom('sendFROMthis@email.com', '<< >> ! " Sender Name'); 
$mail->Subject = "A testing subject"; 
$mail->AltBody = 'To view the message, please use an HTML compatible email viewer!'; 
$mail->MsgHTML('This is my <b>html</b> testing email, sent '.time()); 
$mail->Send(); 

你需要配置这一点，以便它连接到你的电子邮件服务器，但它应该是工作。 Phpmailer至今逃脱了我所尝试过的一切。我唯一检查的是“sendToThis@email.com”。我使用此代码做到这一点：

$email = "sendToThis@email.com"; 
$email = filter_var(filter_var($email,FILTER_SANITIZE_EMAIL),FILTER_VALIDATE_EMAIL); 

if($email){ 
    echo "This email is valid!"; 
} else { 
    echo "This email is INVALID!"; 
} 

我希望这有助于:)