Hi Andreas!

ja. Wobei ich in den Kommentaren gelesen habe, dass es früher mal anders war (anno 2002).

Im Manual heißt es:
Note:  Make sure you do not have any newline characters in the to or subject, or the mail may not be sent properly.
Eigentlich müsste das veraltet sein.

12-04-2004 steht auf der Startseite meines lokalen PHP-Manuals...

Auch die online-Version (http://de3.php.net/manual/en/function.mail.php) enthält diese Note noch - direkt über den User Notes.

Ja, ich weiß.

Der Bug (http://bugs.php.net/bug.php?id=17746) wurde mit dem Release von PHP 4.2.3 behoben (http://de3.php.net/ChangeLog-4.php#4.2.3).

Naja, ich denke PHP < 4.2.3 ist noch durchaus oft im Einsatz. Ich habe  gerade mal php 4.2.2 getestet, und da besteht in der Tat dieses Problem, was sehr leicht auszunutzen ist wenn "To" oder "Subject" manipulierbar sind, z.B. über  $_GET/$_POST oder ggfs. auch bei falscher Verwendung von register globals. Bei Versionen ab PHP 4.2.3 funktioniert das wie gesagt nicht mehr, bzw. nur noch über den 4. Parameter.

Grüße
Andreas