我要翻译的内容如下:
我所提到的公告发布在以下网址: http://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html
我曾在许多网站上使用类似于这样的代码:
$mail = new PHPMailer(true);
$mail->SetFrom('info@mysite.com', 'My Site');
$mail->AddReplyTo( $contact_email, "$contact_name" );
$mail->Subject = $subject;
$mail->AltBody = $mail_text;
$mail->MsgHTML($mail_html);
$result = $mail->Send();
我使用硬编码的发件地址,那么我是否安全免于漏洞?我需要担心用户输入的回复地址吗?尽管我使用 filter_var 进行验证,但如果我理解正确,发件地址可以通过验证并仍然注入代码,因为在电子邮件地址中技术上允许包含空格。