Hello,

$emailinhalt = "Es wurden folgende Angaben gemacht:\n Name, Vorname: $name\n Telefonnummer: $tel\n E-Mail: $email\n Clubausweisnummer: $clubnr $mitgliednr\n DGV Stammvorgabe: $stvrg\n Teilnahme am Essen $essen\n Turnierauswahl: $turniere\n";

das ganze versende ich dann mit:
mail("email@lietzi.de","neue Anmeldung","$emailinhalt\n","FROM: email@lietzi.de");

Woher kommen denn $to und $from?
Das sind beim email-Versand die gefährdeten Stellen, da beide in den Header-Bereich der eMail Einzug nehmen. Es wäre also möglich, dort umfangreiche Manipulationen vorzunehmen. Man sollte die übergebenen Paramter daher daruf untersuchen, ob wirklich nur GENAU EINE email-Adresse drinsteht und NICHTS ANDERES.

Das Dir von Ralf angebotene Script hat leider auch dieses Manquo. Es ist injizierbar.

Liebe Grüße aus http://www.braunschweig.de

Tom