Hallo,

Eigentlich genügt es, wenn du nur die Nutzereingaben kontrollierst, die in Headerzeilen landen - typischerweise sind das "Subject:", "To:", und eventuell "From:".
Subject und To sind seitens PHP abgesichert (Steuerzeichen zu Leerzeichen), wenn man nicht eine hornalte 4er Version nimmt

stimmt, hätte ich wissen müssen. Ich erinnere mich an entsprechende Diskussionen, an denen ich auch schon beteiligt war.

"aktuelle" 4er Versionen

Ist das nicht ein Paradoxon? ;-)
Mein Webhoster nervt mich in letzter Zeit schon fast mit der wiederholten Ankündigung, dass PHP4 demnächst endgültig als Wahlmöglichkeit verschwinden wird. Is' ja gut, mach endlich ...

From und der Rest, der im Parameter $additional_headers übergeben wird, ist noch als kritische Stelle übriggeblieben. Nichtsdestotrotz kann man natürlich Subject und To auf Zeilenumbrüche untersuchen und bei einem Vorkommen die Bearbeitung abbrechen, weil das recht sicher ein Zeichen für einen Spam-Versuch ist.

Ja, der Hinweis ist nicht neu, aber berechtigt.

Ciao,
 Martin