Moin
$message .= "Hallo!\n";
Und bitte, bitte initialisiere deine Variablen immer! Schreibe also beim ersten mal wo $message auftaucht $message = "Hallo!\n"; oder irgendwo davor ein unset($message);
Denn der .=-Operator hängt nur einen String an eine vorher bestende Variable an, und da du sie vorher nirgendwo initialisiert hast, kann der User das tun, indem er einfach ?message=Haha an den URL des Skriptes anhängt.
Wie du leicht siehst könnte man dann beliebiges Mails verschicken, und ich möchte beinahe wetten, dass es da eine Möglichkeit gibt unserem aller Lieblingsmailclienten einen Wurm unterzujubeln. Und auch wenn nicht, wäre es nicht schön wenn jeder einfach so Mails verschicken kann, evt. sogar noch mit frei wählbarem Addressaten.
--
Henryk Plötz
Grüße aus Berlin