Moin.

Sorry, aber die PHP hat die die Eigenschaft Skripte immer zu parsen.

Bitte? Natürlich parsed PHP die Scripte, aber darum geht es gar nicht. Es geht um _Usereingaben per Formular_, die nie ungeparsed in einem Script verarbeitet werden sollten. Und wie Du unten richtig bemerkt hast, gibt es Scripte, die dies bei der Fromularverarbeitung nur ungenügend tun.

Schön das ganze automatisch über eine schlechtes Formular oder über ein schlechtes Skript. Damit hast Du Dein Formular dann klassisch zum spammen vorbereitet.

Nein. Das Script soll nur eine Mail an _eine_ Adresse schicken, wenn diese Adresse RFC-Konform ist, bei Eingabe von mehr als einer Mailadresse nix tun (bzw. einen geeigneten response code zurückliefern) und keine Änderung des Mailheader und -Body zulassen.

So augwändig sind beide Techniken nicht, Beipiele findest Du z.B. ...
In den letzten Diskussionen wurden mehrfach die dort verwendeten Skripte analysiert, insbesondere die Formluarverarbeitung war mittelmäßig bis kritisch.

Und genau deshalb sind die nur als Beispiel (!) aufgeführt, denn auch hier gilt: Wer ungeprüft freie Scripte einsetzt, muß mit dem Mißbrauchsrisiko leben.

Ich würde bis zur endgültigen Klärung ob die Probleme behoben sind die Skripte ausnahmslos nicht ungeprüft verwenden.

genau, s.o.

Gruß Frank