Tach!

Bie $betreff="Kontaktformular-mehlhop.com, Nachricht von ".$_POST[name]; bin ich anderer Meinung als Du. Ich hoffe, dass ich mich nur irre. Aber mMn kann man hier über den ungefilterten Post-Parameter beliebige Header einschleusen.

Nö, dazu braucht mal Zeilenumbrüche, und die werden von PHP zu Leerzeichen konvertiert.

Der Post-Value landet im Subject-Header, und der lässt sich dann durch die übermittelten Daten beliebig manipulieren. Das läuft unter "Mail Injection".

Theoretisch ja, aber ohne Zeilenumbrüche läuft da nichts.

Und bitte erklär mir nochmal ganz kurz, seit wann PHP nicht druckbare Zeichen filtert aus dem Eingabedaten.

Wie kann ich denn einen Zeitpunkt erklären? Wie auch immer, den kenne ich nicht. Aber das macht PHP schon seit ein paar Jahren, als noch Version 4.x aktuell war.

dedlfix.