Hallo,

aha, soll das heissen, dass bei

$mail_sub = "blablub\n
To: armes-opfer@example.com";
$mail_mesg = "Hallo armes-opfer!";
mail("meinempfaenger@example.com", $mail_sub, $mail_mesg, "From: meinabsender@example.com");

>   
> auch eine Mail an armes-opfer@example.com geschickt würde?  
  
genau das. Und fertig ist die Spamschleuder. ;-)  
  

> Abender, Empfänger, Subject und extra Headers sind statisch vom "Programm" fix gesetzt.  
  
Das ist gut, dann kann dir da schon nichts mehr passieren. Schlimmstenfalls könnte dir jemand mit unsinnigen Eingaben noch den Nachrichtentext verunstalten; das hätte aber keine schädlichen Auswirkungen, außer dass beim Empfänger möglicherweise irgendein wüster Zeichensalat ankommt.  
  

> Mit anderen Worten, ich sollte nur praktisch jedes Feld mittels Regex auf zugelassenen Inhalt prüfen?  
  
Nein. Aber du solltest jede Benutzereingabe, jede Eingabe, die irgendwie von außen kommt, sorgfältig prüfen, kritische Inhalte abweisen oder dem Kontext entsprechend maskieren. "Jedes" Feld zu prüfen, ist in der Regel nicht notwendig, wenn -wie in deinem Beispiel- einige Felder sowieso von Programm mit Konstanten belegt werden.  
  
So long,  
 Martin  

-- 
Ich liebe Politiker auf Wahlplakaten.  
Sie sind tragbar, geräuschlos, und leicht wieder zu entfernen.  
  (Loriot, deutscher Satiriker)