Moin,

Insbesondere alle Parameter, die ins Script gelangen können.
Und manchmal überschreiben diese Parmater (vorzugsweide per URi übergeben) interne Variablen des Scriptes.

Ausnahmslos alle Variablen sollten überprüft werden alles andere macht in der Regel nur Probleme.

Auch das übergeben einer Mailladresse stellt kein Problem dar, wenn man vorher prüft ob diese Mailadresse eine zulässige ist.

Da könnte man aber wieder in den Bereich der "Mitstörerhaftung" kommen. Wozu soll es auch möglich sein, über mein Kontaktformualar emails an Fremde zu senden?

Wieso an Fremde?
An verschieden bekannte!

Zusätzlich schränkt das Abschalten der globalen Variablen den Handlungsspielraum der Einbrecher gewaltig ein!

Aber nur, wenn man dann nicht z.B. extract() benutzt. Das macht das Ganze noch schlimmer. Über so ein Script hatte ich neulich hier berichtet...

Zu Beispiel, kann man Headerinformationen auch über Register globals Off hervorragend ins Formular schleusen, wenn eine Überprüfung nicht statfindet.

Ja, genau darum ging es hier. "Subject" und "From" sind die bevorzugten Felder im Formular für solche Lücken.

Die namen der Felder spielen so gut wie keine Rolle.
Wenn Du ein entsprechend beschissenes Skript hast dann bekommst Du die Header über jedes Feld rein.

TomIRl