Hallo dedlfix.

Genügt es, die zusätzlichen Mailheader (vierter Parameter von mail()) mit "\r\n\r\n" zu terminieren, um das Anfügen weiterer zu unterbinden?

Bestimmt nicht. Es gibt da auch noch das Subjekt (zweiter Parameter von mail()), das ebenfalls im Header landet.

Dieses wird bereits auf "\r\n" (und sicherheitshalber auch auf "\n") untersucht. Diese beiden Suchmuster haben in den betreffenden Formularfeldern nichts zu suchen und erzeugen eine Fehlermeldung.

Wenn du dafür auf die dort einzufügenden Daten eine CR/LF-Entfernungsfunktion anwendest, kannst du die auch gleich noch für den vierten Parameter verwenden.

Alles, was im vierten Parameter landet, wurde bereits vorher auf obige Zeichenketten hin überprüft.

Wo dachtest du denn, willst du das \r\n\r\n anfügen? An die vom Nutzer gesendeten Daten? :-)

Nein, am Ende des Mailheaders. Oder wie sollte ich diesen Kommentar deuten?

Und kann man irgendwie den dritten Parameter vorzeitig beenden, um zusätzliche Mailheader einzuschmuggeln? (Daher überhaupt meine Frage bzgl. "\r\n".)

Einen schönen Mittwoch noch.

Gruß, Ashura