Hallo,

Wie könnte dieser denn ein BCC Feld einschmuggeln?

Zum Beispiel indem er in ein kritisches Formularfeld die Zeichenkette „\r\nBCC: spam-me@example.org, etc“ einfügt. (\r\n ist der Terminator für Mailheader)

Die PHP- und Perl-Mail-Funktionen sind aber auch so was von lustlos programmiert. Das sieht man denen richtig an:

bool mail ( string to, string subject, string message [, string additional_headers [, string additional_parameters]] )

Da hat jemand gedacht: "Was brauch ich _unbedingt_ aus RFC 2822? TO, Subject, Message. Was, da gibts noch mehr? Das wird Sonstiges."

Würde es für jedes Feld im Internet Message Format einen Parameter in den mail-Funktionen geben, wären diese lange nicht so unsicher und die Prüfung wäre weit einfacher.

Oder gibts da mittlerweile schon bessere?

viele Grüße

Axel