Tach!

Eigentlich genügt es, wenn du nur die Nutzereingaben kontrollierst, die in Headerzeilen landen - typischerweise sind das "Subject:", "To:", und eventuell "From:".

Subject und To sind seitens PHP abgesichert (Steuerzeichen zu Leerzeichen), wenn man nicht eine hornalte 4er Version nimmt ("aktuelle" 4er Versionen sind auch sicher). From und der Rest, der im Parameter $additional_headers übergeben wird, ist noch als kritische Stelle übriggeblieben. Nichtsdestotrotz kann man natürlich Subject und To auf Zeilenumbrüche untersuchen und bei einem Vorkommen die Bearbeitung abbrechen, weil das recht sicher ein Zeichen für einen Spam-Versuch ist.

dedlfix.