Hallo dedlfix,

=> eine potentielle Spamschleuder, die für Header-Injektion anfällig ist.

Das nun gerade nicht, denn ...

$message = " Message: $comment \r \n From: $name  \r \n Reply to: $email";  
mail($recipient, $subject, $message);  

... $name und $email landen im Nachrichtentext. Für eine Header-Injection eignet sich nur der hier nicht genutzte vierte Parameter von mail().

Stimmt. Header-Injection ist in der Tat nicht möglich. Spam-Versand aber doch, da der Empfänger (genauer die Empfängerliste) und der Inhalt vom Benutzer vorgegeben werden können.

Ich vermute, dass die Empfängeradresse im Originalkontaktformular in einem versteckten Eingabefeld steht. Sie sollte nur im verarbeitenden Skript stehen ...

Freundliche Grüße

Vinzenz