Hello,

Die Überprüfung auf _genau_ein_ @ ist auch schon eine wesentliche Prüfung, um MTA-Injection abzuwehren, Dein Formular also gegen Missbrauch durch Spammer (Listen von Adressen) abzuriegeln.

Vollständig sicher ist es damit aber noch nicht.

Naja, das email-Feld soll bei mir eigentlich gar nicht zur Sicherung dienen. Die Eingabe in dieses Feld ist freiwillig.

Damit das nicht verkehrt verstanden wird:
Alle Usereingaben, die in die Header der eMail übernommen werden, sollten tunlichst kreuz und quer geprüft werden. Man kann über eine solches Eingabefeld (z.B. 'From: ') den MTA für seine eigenen Zwecke "umprogrammieren", wenn der Programmierer da keinen Riegel vorgeschoben hat.

Dagegen kannst Du Dich am einfachsten schützen, wenn Du gar keine externen Eingaben in die Header übernimmst, sondern einfach alle Informationen im Body der eMail übermittelst. Der ist (soweit ich das weiß) nicht missbrauchbar.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom