Moin!

$von=$_POST['von'];
$betreff=$_POST['betreff'];
$text=$_POST['text'];

Wozu diese Umspeicherung? Verwende doch die Schlüssel von $_POST direkt.

Damit man nicht mehr so einfach nachvollziehen kann, wenn gefährliche Userdaten ohne Escaping in gefährlichen Aktionen benutzt werden.

Sozusagen der Freifahrtschein zum "Selbst in den Fuß schießen"!

$xtra="From: $von \r\n";

Mit anderen Worten:
$xtra = "From: $_POST[von] \r\n";

Und wenn in $_POST nun Zeilenumbrüche und weitere Mailheader drin stehen, z.B. BCC oder CC, dann hat man eine Spamschleuder gebaut.

Nur: Das unscheinbare Verwenden von $von tarnt solche Tatsachen ganz prima.

Deshalb: Das simple Kopieren von Daten aus $_GET, $_POST, $_COOKIE etc. GEHÖRT VERBOTEN!

- Sven Rautenberg