Moin

Also, wie kann man die mail()-Funktion zum spammen benutzen und wie kann ich das verhindern?
Fast gar nicht. Wenn er das tun will, hast Du Pech....

Was meinst Du damit?
Spam verhindern kann er nicht?
Natürlich...

Aber: Lies mal in Deinen Bedingungen nach, ob er das überhaupt machen _darf_.

Was machen darf?
Als ob das einen Spamer aus Brasilien interessiert.

Nearby: Manchmal erkennt man selbst nicht, dass es eine Einbruchslücke gibt:
Z.B. wenn sich mehrere Bedingungen überschneiden tritt die nächste in Kraft... Eine Software ist _nie_ fehlerlos!

Hast Du nochmals überdacht was Du dort schreibst?
Es gibt ein paar Regeln, wenn man sich daran hält, dann kann nichts passieren, z.Bsp Variablen auf Gültigkeit überprüfen.

Wichtig bei der mail()-Funktion: Niemals die "AN"-Adresse über das Formular übergeben lassen, auch nicht als hidden-Field o.ä. Immer hart-codiert im Quelltext hinterlegen.

Auch das übergeben einer Mailladresse stellt kein Problem dar, wenn man vorher prüft ob diese Mailadresse eine zulässige ist.

Zusätzlich schränkt das Abschalten der globalen Variablen den Handlungsspielraum der Einbrecher gewaltig ein!

Register_Globals off gaukelt oft eine Sicherheit vor die keine ist.
Man kann ein Formular mit und ohne Register_Globals unsicher machen.
Zu Beispiel, kann man Headerinformationen auch über Register globals Off hervorragend ins Formular schleusen, wenn eine Überprüfung nicht statfindet.

TomIRL