Hello,

Wichtig ist auf jeden Fall, dass Du alle Felder, die bei der eMail im Header-Bereich landen, auf Injektionen überprüfst.

Wie macht man denn das?

Da ist ein nicht zu unterschätzender Themenkomplex, der lange einfach ignoriert wurde. Aber genauso, wie man mittels Usereingaben oft Datenbank-Queries manipulieren kann, kann man auch Mailserver missbrauchen.

die Funktion mail() von PHP liefert eine rudimentäre eMail-Unterstützung sowie die Möglichkeit des "Aufbohrens" über den parameter "$header"

http://de3.php.net/manual/de/ref.mail.php

Leider kann man das lokal nicht so ohne weiteres ausprobieren. Dazu muss man schon einen lokalen Mailservice installiert haben. Aber es wäre auf jeden Fall zu empfehlen, dass Du deine ersten Scripte, die Du mit mail() baust, nicht online (öffentlich) stehen lässt, wenn Du Feierabend machst, sondern sie hier (in wesentlichen Auszügen) postest zur Kontrolle.

Spammer sind regelmäßig auf der Suche nach "open relays". Das sind Mailscripte, die die Sicherheitsbedenken missachten...

Du benöigst erstmal ein Formular, das seine Form-Action an ein Script richtet. Zum Üben (und auch später) eignet sich dafür am besten ein "Affenformular" (--> im Archiv suchen).

Dieses Fomular sollte als erstes nichts anderes tun, als die Felder, die Du für mail() später verwenden willst, zu verarbeiten und wieder auszugeben.

Erst wenn Du alle Felder (Parameter) soweit "dicht gemacht" hast, dass nichts Schädliches mehr durchschlüpen kann, solltest Du sie an mail() übergeben.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom