Moin.

Hi ihr fleißigen Forumsbesucher, könnt ihr mir sagen, ob dieser von de.selfhtml.org kopierte Perl Formmailer sichher ist?

Nö isser nich... Siehe dazu  [Link:http://forum.de.selfhtml.org/archiv/2004/6/t82380/]

Das bezieht sich auf folgende Zeilen:

open(MAIL,"|$Sendmail_Prog -t") || print STDERR "Mailprogramm konnte nicht gestartet werden\n";
  print MAIL "To: $mailto\n";
  print MAIL "Subject: $subject\n\n";
  print MAIL "$mailtext\n";
close(MAIL);

Eingaben der Benutzer sollten NIE ungeparsed im header der Mail landen. Und das betrifft nicht nur das To-Feld.

Das wäre schon besser:

open(MAIL,"|$Sendmail_Prog -t") || print STDERR "Mailprogramm konnte nicht gestartet werden\n";
  print MAIL "To: myMail@my.domain.de\n";
  print MAIL "Subject: Kontaktformular\n\n";
  print MAIL "Original-Subject: $subject\n";
  print MAIL "$mailtext\n";
close(MAIL);

Die Empfängeradresse ist hart codiert, ebenso das Subject. Damit der Benutzer aber trotzdem einen Betreff eingeben kann, laß das "Subject"-Feld ruhig im Formular und schreibe das Subject in dem Mailbody. Der Header wird durch die beiden \n\n beendet. Falls Du dem User auch die Möglichkeit geben willst, seine Absenderadresse einzugeben, dann sollte auch die im Mailbody landen. Das erschwert zwar das direkte Antworten auf eine solche Kontaktmail, macht das ganze aber sicherer.

Gruß Frank