<?php
//Gib Fehler und Warnungen aus
error_reporting(E_ALL);
//Deutschsprachige Umgebung, damit die
//regulären Ausdrücke auch Umlaute etc. erkennen
setlocale(LC_ALL, 'de_DE.UTF-8');
//Erzeuge einen zufällig aussehenden Zugangscode aus dem Datum ...
$code = chr((date("y") + 7) % 10 + date("m") + 68 + (date("m") % 2) * 32) . chr((date("d") + (date("d") %2)) / 2 + 66 + (37 * (date("d") %2)));
//... den der Anwender mittels verborgenem Eingabefeld übergibt.
//So lässt sich das Gros der skriptgesteuerten Angriffe von
//vornherein abblocken.
//Wurde das Formular abgeschickt?
//Falls ja: Daten prüfen und versenden
if(isset($_POST['los'])) {

	if(!isset($_POST['code']) || $_POST['code'] != $code) die('Mailcode fehlt!');
	//Liste der zu überprüfenden Formularfelder:
	//'Absender' muss genau eine Mailadresse sein,
	//'Betreff' ist ein mindestens drei Zeichen langer Text ohne Umbruch,
	//'Text' muss zehn Zeichen lang sein.
	$pruefung = array(
		'Absender' => '/^ [\w.!#%&\*\/=\?\^\`\{\|\}\~+-]{1,64} \@
		[[:alnum:].-]{1,255} \. [a-z]{2,6} $/xi',
		//prüft auf gültige E-Mail-Adresse nach RFC 2822,
		//erlaubt auch ungewöhnliche Adressen wie "{@heise.de";
		//strengere Prüfung (erfordert z.B. mindestens 2 Zeichen vor @
		//und im Domainnamen, schließt ungewöhnliche Adressen aus):
		//'Absender' => '/^[\w.+-]{2,64}\@[\w.-]{2,255}\.[a-z]{2,6}$/',
		'Betreff' => '/^[[:print:]]{3,}$/',
		//restriktivere Variante:
		//'Betreff' => '/^[[:alnum:]\s\?.!,;:\(\)\/\"-]{3,}$/',
		'Text' => '/^[[:print:][:space:]]{10,}$/'
	);

	//Durchlaufe alle Formulardaten:
	foreach($_POST as $parameter => $wert) {
		//Formularfelder, die in $pruefung stehen,
		//müssen in die oben definierten Muster passen
		if(isset($pruefung[$parameter]))
		// wenn ein Muster vorhanden
		{
			if(!preg_match($pruefung[$parameter], $wert)) 
			{
				$debug = bin2hex($wert);
				die("DEBUG #$debug# ". '<br> Eingaben unzureichend - bitte gehen Sie zurück zum Feld ' . $parameter . ': ' . $wert);
			}
			// Das Muster ist gematcht
		} 
		else 
		{
			//wenn kein Muster vorhanden
			//Der Rest wird weggeworfen.
			unset($_POST[$parameter]);
		}
	}
	
	//Prüfe, ob die Absenderadresse einem gültigen MX-Host angehört
	//Zu jeder Domain in einer Mailadresse (nach dem @-Zeichen)
	//sollte ein Mail Exchange Resource Record (MX-RR) im Domain Name
	//System (DNS) eingetragen sein. Die MX-Hosts versenden die E-Mail
	//per SMTP. getmxrr() schreibt MX-Hosts in das Array $mxhosts
	//ACHTUNG: Dieser Befehl ist nur auf Unix-Maschinen implementiert,
	//unter anderen Betriebssystemen ist die Zeile zu streichen!
	//Außerdem scheint getmxrr() Probleme mit Umlautdomains zu haben.
	if(!getmxrr(substr(strstr($_POST['Absender'], '@'), 1), $mxhosts)) die("Konnte keine gültige Domain für " . $_POST['Absender'] . " finden!");
	//Die Formulardaten sind ok -- der Mailversand wird vorbereitet:
	//mail() erwartet Empfänger, Betreff, Text und weitere Kopfdaten
	if(mail('email@website.de', $_POST['Betreff'], $_POST['Text'], "From:" . $_POST['Absender'])) {
		//Es hat geklappt: Bestätigung ausgeben
		echo "<p>Nachricht von " . $_POST['Absender'] . " an website.de gesendet!</p>";
	} 
	else {
		//Irgendwas ist schiefgelaufen :-(
		echo "<p>Nachricht konnte nicht gesendet werden!</p>";
	}
} 
else {
//Es wurden keine Formulardaten übergeben ->
//Gib einen HTML-Block mit dem Formular aus.
?>
<html>
<body>
<form action="#" method="POST" accept-charset="UTF-8">
<input type="hidden" name="code" value="<?=$code ?>">  
<input type="hidden" name="los" value="1">  
Absender: <input type="text" name="Absender"><br>
Betreff: <input type="text" name="Betreff"><br>
Eingabe: <input type="text" name="Text"><br>
<input type="submit" value="Senden">
</form>
</body>
</html>
<?php } ?>