Hi,

Hi Ingo

Also so klappts: formular.php
ist aber leider noch unschön und - was viel schlimmer ist - eine potentielle Spamschleuder.

Ja, so weit bin ich noch nicht. Erstmal wollte ich ich die grundsätzliche Struktur verstehen und zum laufen bringen. Step-by-step... bin halt noch kein Profi wie Du ;)

<form action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>" method="post">
htmlspecialchars() ist hier unnötig und $_SERVER['PHP_SELF'] ist manipulierbar.

Hmm, ich dachte gerade wenn es ja manipulierbar ist wäre htmlspecialchars angebracht? Was wäre denn an dieser Stelle besser? Direkt "reservierung.php" eingeben?

und die reservation.php:
warum eine Extra-Datei?

Hmm... Tom hat vorgeschlagen das HTML-Formular und das PHP-Skript strikt zu trennen. Ist doch auch sinnvoll, so kann ich das Formular includen und muss nicht alles per echo ausgeben lassen. Trägt doch zur Übersichtlickeit bei... was ist daran schlimm?

mail($empfaenger, $subject, $mailtext, "From: ".$_POST['name']);
und hier haben wir den Ansatzpunkt zum Missbrauch als Spam-Schleuder: $_POST['name'] ist manipulierbar und kann an dieser Stelle zusätzliche Mail-Header einschleusen. Ich kenne Leute, denen ihr Provider ein solches Formular zum Glück stillgelegt hatte, bevor größerer Schaden entstehen konnte.

Ich schau mir gleich noch an wie Du dieses Problem bei Deinem Formmailer gelöst hast.

Einiges fehlt auch noch völlig, z.B. die "Demaskierung" von magic_quotes (sofern vorhanden) und die Berücksichtigung der Zeichenkodierung. Aber auch eine Syntax-Prüfung der Telefonnummer wäre nicht verkehrt (und könnte auch den ein oder anderen Spam-Bot abhalten).

Jap... nur die Ruhe, ich bin Anfänger... wie gesagt... step-by-step ;)

freundliche Grüsse
erich