Я думаю, вам не нужно ломать над этим голову. Главное чтоб система справлялась. Сложно будет изучить и понять множество тип атак. Радуйтесь что у вас не вордпресс и не джумла.
Адреса на которые могут приходить сообщения вводятся не только в настройках модуля "Интернет-магазин". Также они могут быть вписаны в "Почтовых шаблонах".
Вам нужно знать в какой кодировке работает ваш сайт. Далее файл скрипта нужно сконвертироват в нужную кодировку. В notepad++это делается в меню Кодировки.
