我知道这可能不是一个容易的问题,但我正在开发几个Web表单,并且想要一个PHP库,我可以使用它来发送邮件并自动清理数据。我在看PHPMailer,它看起来很容易设置。
PHPMailer是一个安全的库,可以用来防止我的表单受到SQL注入/电子邮件注入/XSS等的影响吗?我知道没有什么是100%安全的,但我正在寻找一个简单的脚本来使用,而不必净化数据。
PHPMailer本身不创建/使用任何SQL,也与javascript无关,因此在这些方面是安全的。它经常与同时做这两件事的代码一起使用,但这不是PHPMailer关心的问题。
它将过滤应用于标头,以避免标头注入攻击,并且(据我所知!)正确构建标头,以便根据RFC进行转义和编码-通常PHPMailer倾向于在实际情况下严格遵守技术规范。有一个悬而未决的问题与线路长度合规性有关。
如果使用默认设置与PHP 5.6一起运行,它将验证安全连接上的SSL/TLS证书。早期的PHP版本默认情况下不会这样做,您可以在PHP 5.6中禁用它,但两者都不推荐。在早期的PHP版本中,有一个与强制使用此设置有关的公开问题。
话虽如此,PHPMailer(就像任何技术库一样)当然可以被滥用来发送各种恶劣的网络钓鱼、垃圾邮件和恶意软件,SMTP类也可以被用来试图混淆糟糕的邮件服务器,尽管它会尽最大努力确保在尊重RFC的情况下这样做。
截至目前,强烈建议为5.2.18之前的版本提供漏洞修补程序在此处下载https://github.com/PHPMailer/PHPMailer
引用自Hacker News(http://thehackernews.com/2016/12/phpmailer-security.html)简要总结:
由法律部的波兰安全研究员Dawid Golunski发现黑客,关键漏洞(CVE-2016-10033)允许攻击者在web环境中远程执行任意代码服务器并危害目标web应用程序。
"为了利用该漏洞,攻击者可以针对常见的网站组件,如作为联系人/反馈表格、注册表格、密码电子邮件重置以及其他借助易受攻击版本发送电子邮件的人Golunski在发表的公告中写道今天
技术细节将发布在此处:https://legalhackers.com/papers/Pwning-PHP-mail-func-For-Fun-And-RCE-New-Exploit-Techniques-Vectors.html