Hallo Vinzenz,

Entferne die Zeilenumbrüche und der Möchtegerncracker kann kein Headerfeld selbst erzeugen.

Verhindere Headerinjektion und gut ist.

also war und ist Roberts Ansatz im Ausgangsposting ja schon 100%ig sicher?

Wenn dem so ist (was ich, je mehr ich hier und anderswo lese, immer weniger verstehe), stimme ich dir natürlich zu, was den Ausschluss von erlaubten Formaten angeht.

Vor allem ist mir (scheinbar) die mail() von PHP nicht ganz klar. Laut Manual sind die Parameter wiefolgt:
bool mail ( string to, string subject, string message [, string additional_headers [, string additional_parameters]] )

Ich verwende bspw. ein Script (zum Glück ohne Benutzereingaben) in dem außer dem subject alle anderen Angaben in den additional_headers stehen.

Um also auf Nummer Sicher zu gehen, muss man ungewollte Headerangaben für alle Parameter ausschließen?

Gruß Gunther