Hallo

<form action="http://Xxxxxxxxxx.de/ris/email-senden/" enctype="text/plain" method="post">

Dass das Attribut enctype weg soll, wurde ja schon oft genug gesagt. Mir stellt sich aber eine andere Frage. Was passiert, wenn du http://Xxxxxxxxxx.de/ris/email-senden/ im Browser aufrufst? Findet sich das die Eingaben verarbeitende PHP-Skript als automatisch aufzurufende Ressource z.B. als „index.php“ in diesem Verzeichnis und wird dann mit einer Fehlermeldung aufgerufen? Oder heißt dein verarbeitendes Skript ganz anders? Dann sollte der Name der Datei auch in der URL im Action-Attribut genannt werden.

Nachricht <span style="color: red;">*</span>
<textarea cols="30" name="nachricht" required="" rows="10"></textarea>

Dass Labels nicht nur für Radio-Buttons und Checkboxen wichtig sind, sondern auch für alle anderen Formularelemente, die Eingaben ermöglichen, wurde auch schon gesagt. Zudem lässt sich der Text der Feldbenennungen so auch leichter per CSS erreichen.

Hier kommt aber noch ein bisher nicht benanntes riesengroßes Sicherheitsloch hinzu.

<input name="empfaenger" type="hidden" value="hans@keutgen.com" />

Die Anfrage an das verarbeitende Skript kann man — vorausgesetzt, das funktioniert grundsätzlich — auch ohne das HTML-Formular oder auch ohne einen Browser erzeugen. Dann mann man aber auch einen anderen Empfänger angeben. Dein Skript wird so zur Spamschleuder. Nimm dieses Eingabefeld aus dem Formular heraus und gib den Empfänger hartkodiert im verarbeitenden Skript an.

Tschö, Auge