Hello,

bitte bei öffentlich zugänglichen formmailern _immer_ nur eine ID übergeben, aus der dann serverseitig die mailadresse ermittelt wird - und nicht etwa die mailadresse vom client liefern lassen.

Und wenn eine Mailadresse vom Client geliefert wird (kommt ja z.B. bei 'From: ich@selfforum.test' mal vor), immer überprüfen, ob nur genau eine einzige Mailadresse im String enthalten ist, oder ob da ein ganzes Bündel kommt.

Alle Daten, die in den Header einer wMail aufgenommen werden, müssen geprüft werden auf Injektion.

Das sind:

to:
  subject:
  header:

Nur "message" wird meinen Schaden mehr anrichten können.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom