Hallo,

Folglich kann ich als Nutzer des Formulars sowohl den primären Empfänger frei bestimmen, als auch zusätzliche Header einflechten.
Der zweite Teil ist nicht richtig, meine Aussage bleibt gültig. Steuerzeichen im Parameter $to (hier: $recipient) werden von der Funktion mail() gegen Leerzeichen ausgetauscht. Man kann zwar eine Empfängerliste angeben, aber keine Header-Injection anstellen.

PHP 5.3.3 mail.c Zeilen 132 bis 152, besonders Zeile 141. Es folgt dann die Subject-Behandlung, da werden auf gleiche Weise die Steuerzeichen entschärft. ($message kommt nach den Header-abschließenden doppelten \n und ist somit gar nicht Header-relevant.)

das ist mir auch neu, danke. Lässt sich irgendwie rausfinden, seit welcher PHP-Version das drin ist? Ich habe nämlich schon mehrmals gelesen (auch hier im Forum), dass auf ebendiese Weise sowohl im Empfänger als auch im Subject das Einschleusen zusätzlicher Header möglich sei. War diese Warnung vielleicht bei einer älteren Version berechtigt?

Ciao,
 Martin