Tach!

Ich habe das Script nun mal weiter angepasst (siehe unten). Ist es so schon besser? Oder sollte ich noch etwas anpassen der Sicherheit wegen?

$mail_extras .= "Content-Type: text/plain; charset=utf-8\n";

$mail_text .= "Aufgerufene Adresse: http://" . $visitor_server . htmlspecialchars($visitor_request) . "\n";
$mail_text .= "HTTP Referer: " . htmlspecialchars($visitor_referer) . "\n\n";
$mail_text .= "User Agent: " . htmlspecialchars($visitor_agent);

Wenn du nun auf Plain-Text umgestiegen bist, brauchst du kein htmlspecialchars() mehr. htmlspecialchars() sorgt dafür, dass Daten im HTML-Kontext nicht als HTML-Tags erkannt werden. Plain-Text enthält keinen ausführbaren Code und dafür muss man keine weiteren Sicherheitsmaßnahmen ergreifen - solange man ihn als Plain-Text behandelt.

dedlfix.