Hallo TomIRL,

Aber: Lies mal in Deinen Bedingungen nach, ob er das überhaupt machen _darf_.

Was machen darf?

Er meint das Abschalten des Scriptes.

Es gibt ein paar Regeln, wenn man sich daran hält, dann kann nichts passieren, z.Bsp Variablen auf Gültigkeit überprüfen.

Insbesondere alle Parameter, die ins Script gelangen können.
Und manchmal überschreiben diese Parmater (vorzugsweide per URi übergeben) interne Variablen des Scriptes.

Auch das übergeben einer Mailladresse stellt kein Problem dar, wenn man vorher prüft ob diese Mailadresse eine zulässige ist.

Da könnte man aber wieder in den Bereich der "Mitstörerhaftung" kommen. Wozu soll es auch möglich sein, über mein Kontaktformualar emails an Fremde zu senden?

Zusätzlich schränkt das Abschalten der globalen Variablen den Handlungsspielraum der Einbrecher gewaltig ein!

Aber nur, wenn man dann nicht z.B. extract() benutzt. Das macht das Ganze noch schlimmer. Über so ein Script hatte ich neulich hier berichtet...

Zu Beispiel, kann man Headerinformationen auch über Register globals Off hervorragend ins Formular schleusen, wenn eine Überprüfung nicht statfindet.

Ja, genau darum ging es hier. "Subject" und "From" sind die bevorzugten Felder im Formular für solche Lücken.

LG
Chris