21
In $to, $subject und $headers dürfen keine externen Variablen aus $_POST, $_GET, $_COOKIE, $_REQUEST oder $_SERVER eingebaut werden, die Zeilenumbrüche enthalten.
E-Mail-Adressen kannst du mit filter_var() und den Filtern FILTER_VALIDATE_EMAIL bzw. FILTER_SANITIZE_EMAIL behandeln:
https://www.php.net/manual/en/filter.examples.sanitization.php
Aus anderen Strings, wie z.B. einem Betreff, müssen Zeilenumbrüche enfernt werden:
E-Mail-Adressen kannst du mit filter_var() und den Filtern FILTER_VALIDATE_EMAIL bzw. FILTER_SANITIZE_EMAIL behandeln:
https://www.php.net/manual/en/filter.examples.sanitization.php
Aus anderen Strings, wie z.B. einem Betreff, müssen Zeilenumbrüche enfernt werden:
$subject = str_ireplace(array("\r", "\n", '%0A', '%0D'), '', $_POST['subject']);