Zudem ist auch $nachricht = $_POST["message"]; unsinnig und gefährlich

Wir sollten wenigstens versuchen zu erklären, warum das so ist:

Ein böswilliger Besucher könnte auf die Idee kommen, als Nachricht etwas wie

<script>alert("böse");</script> 

zu hinterlassen.

Manche Mailclients (besonders, aber nicht nur Webmailer) sind so versessen darauf, die Mails als HTML zu interpretieren, dass diese das auch dann tun, wenn im Header des Mails eigentlich „plaintext“ angekündigt wurde. Auch MS-Outlook hat das mal getan. Manche davon wieder führen sogar Javascript aus, und manche Webbrowser sind auch so veraltet, dass die sich (z.B. im Falle eines Webmailers) nicht um Verbote aus HTTP-Headern kümmern und das also ausführen. Das alert("böse") ist nur eine harmlose DEMO…

Naja. Und wie vor wenigen Stunden an anderer Stelle nachzulesen war ist die „Updatepolitik“ so mancher Firma einer Überprüfung zu unterziehen...