Hallo,
das ist vollkommen korrekt.
Jedoch ist diese Umgebungsvariable (des Apache) HTTP_REFERER bei der Methode GET nicht aktiv.
also wenn ich eine URL
http://www.irgendwas.de/cgi-bin/formmail.pl?recipient=$email&nachricht=mein_spam
verwende, und $email über ein Programm aus einer Liste/DB generiere kann ich beliebig viele emails über den Server versenden.
Besser die Variable SERVER_NAME oder/und SERVER_ADDR abfragen (letzteres ist etwas problematisch bei dymamisch vergebenen IP durch den Provider) und die Methode GET ausschließen. Mails werden sowieso per form gefüllt, also ist POST kein Problem.
zum Testen:
sende mal in der URL in der Adresszeile des Browsers ab:
http://www.sicherheits-tools.de/cgi-bin/FormMail.pl?recipient=shortcorner@shortcorner.org&subject=FormmailSpamtest&Text=SpamtestSpamtestSpamtest
Der eingestellte Referrer lautet:
@referers = ('195.180.213.247','www.aeskulap.net','home.t-online.de');
Ansonsten kann ich Dir noch ein Javaskript -Formular zusenden das 'nur' 20 mal den Text versendet.
Du hast Dich wohl sicher geglaubt mit Deinem eigenen Formmail (g)
Karsten
° ° ° ° ° 
