Hi!

Prüfst du die Eingaben auch, oder übernimmst du sie nur gutgläubig?

Man kann gar nicht oft genug erwähnen, wie wichtig es ist, alle Daten, die von außen kommen, grundsätzlich als böse anzusehen.
Alle diese Daten müssen geprüft und notfalls bereinigt werden.
Andernfalls hast du kein Mailformular, sondern eine Spamschleuder oder Schlimmeres erstellt.
Ich habe jetzt allerdings keine Lust, genau zu erklären, wie man sich hier absichern kann.
Das wurde hier im Forum schon bereits so oft geschrieben, daß es schon langweilig wird...
Also einfach im Archiv schauen.

header ("location: web/Danke.html");

Fehler: Der location-Header muss eine absolute URL angeben (auch wenn's bei den meisten Clients auch mit relativen URLs funktioniert).

Ja und man sollte danach das Script mit exit; beenden, damit nicht eventuell noch nachfolgender Code ausgeführt wird, falls ein Client dieser Umleitung nicht folgen sollte.

Schöner Gruß,
rob