Kontaktformular so sicher?

Servus Leute,

ich hab ma ne Frage zu meinem Kontaktformular. Als Homepage-Betreiber würde ich gern wissen, ob das Script so sicher ist, oder ob es vor Sicherheitslücken nur so strotzt.

Code:

<?php
	         $mailto="xxx@xxx.de";
	         $form_file="source/feedback.tpl";
	         $thanks_file="source/thanks.tpl";
	         $standard_legend="Hinweis";
	         $error_legend="Fehler";

	         if(isset($_POST['feedback']))
	                  check_form_data();
	         else
	                  show_form_data(false);

	         function show_form_data($with_error){
	                  global $form_file, $standard_legend, $error_legend;
	                  $page=file_get_contents($form_file);
	                  $page=preg_replace("/\[\%self\%\]/",
	                          $_SERVER['SCRIPT_NAME'], $page);
	                        if($with_error==true)
	                          $page=preg_replace("/\[\%legend\%\]/",
	                                  $error_legend, $page);
	                        else
	                          $page=preg_replace("/\[\%legend\%\]/",
	                                  $standard_legend, $page);
	                        echo $page;
	                        exit();

	                  }

	         function check_form_data() {
	                  //echo "<pre>", var_dump($_POST), "</pre>";
	                  if(empty($_POST['Mail']) or empty($_POST['Text']))
	                          show_form_data(true);
	                  else
	                          mail_and_thanks();
	                  }

	         function mail_and_thanks() {
	                  global $mailto, $thanks_file;
	                  $headers="From: {$_POST['Vorname']} {$_POST['Name']} ";
	                  $headers.="<{$_POST['Mail']}>\r\n";
	                  $headers.="Content-Type: text/plain; charset=ISO-8859-1\r\n";
	                  $headers.="Content-Transfer-Encoding: 8bit";
	                  mail($mailto, $_POST['subject'], $_POST['Text'], $headers);
	                  $page=file_get_contents($thanks_file);
	                  echo $page;
	                  exit();
	                  }
	?>

Vielen Dank schon mal für eure Antworten. Als Hinweis, das Script habe ich von Stefan Münz, dem Gründer von SelfHTML übernommen.

Einen schönen Sonntag euch allen.

Guß Huxley

Nicht nur unsauber Programmiert, sondern auch total unsicher.

Aber sicher hast du die Frage nicht einfach so aufs gerade wohl gestellt, sondern dich bereits vorher über das Thema informiert und bist sicher auch über das Stichwort Mail-Injection gestolpert...

aha... nuja, wie gesagt, abgeschrieben aus dem Buch von Stefan Münz

hmpf.

ja, von der Mail_injection hab ich gehört, auch von der URL-Injection und all so unschönen dingen.

wie ist es besser zu machen, also ausgehend, davon, was ich jez schon habe. oder hilft da nur neu programmieren?

Gruß

Also nen Konktaktformular würd ich schnell neu Programmieren, bevor ich darauf aufbaue. Aber kannst es natürlich auch anpassen. Wenn du dich ein bisschen informiert hast, sind die stellen ja leicht gefunden.