Moin.

Und du hälst Spammer und Angreifer natürlich nicht für so schlau,
nicht wahr?

Ich brauche nur wenige Versuche, um ohne Kenntnis des Webservers zu ermitteln, wie \n zu codieren ist, damit es "richtig" interpretiert wird: 0x0a, 0x0d 0x0a... Und eigentlich brauche ist es garnicht probieren, wenn es bei einem nicht geht, nehme ich den nächsten. Ich habe verschiedene beliebige Feedback-Forms im Internet, die auf einem Perl-Script basieren, mittels eines kleinen Script, welches den HTTP-Request zusammenbaut, mit "Daten" versorgt - es gingen ALLE!!! Selbst bei einem Provier!

Es existiert - wie FrankS richtig sagt - eine Hintertür und diese
zu schliessen ist wichtig (alles andere wäre Beihilfe zu einer
Straftat); denn eines sei dir stets gewiss: wenn es Lücken gibt,
werden sie auch gefunden!

Stimmt. Mein FormmailScript war nur kurze Zeit online - und schon mißbraucht.

Die Lücke existiert übrigens auch in dem Formmailer, der auf selfHTML zu finden ist: http://aktuell.de.selfhtml.org/tippstricks/cgiperl/form-mail/index.htm. Ich werde Stefan mal 'ne Mail schreiben

Gruß Frank