OK, überredet. Wird nachher eingebaut.

Was kann man sonst noch an der Funktion verbessern?

nein, das wandelt z. B. > in &gt; um, damit werden also Tags wie z. B. <a>, <b>, etc.. unschädlich gemacht.

Du irrst. Denn "\n" Ist ja nur eine Schreibweise. Intern kommt da kein "\" vor. Das ist als würdest du mit Delphi einen Zeilenumbruch entfernen wollen in dem du alle "#" durch nichts ersetzt. Da ist auch nicht das Ergebnis das dann Anstelle des Zeilenumbruchs 13 und 10 als Zahlen im Text stehen.

Und was macht dein Script, wenn ich "\\n" eingebe? Richtig, es wandelt mir brav das ganze in "\n" um. Da bedank ich mich als Angreifer doch...

Man sollte generell vorsichtig sein, mit Hilfe von str_replace oder preg_replace Formularwerte/Parameter abzusichern. Z.B. könnte man auf die Idee kommen, bei einer Pfadangabe aus Sicherheitsgründen ganz naiv ".." durch "" zu ersetzen. Allerdings übersieht man dabei leicht, was passiert, wenn der Angreifer "...." übergibt. Es gibt viele Sicherheitslücken solcher Art, und nicht alle sind auf den ersten Blick so offensichtlich.

Kurzum: nein, ist es nicht. Absolut nicht. So unsicher dass ich dir empfehle, es sofort offline zu nehmen falls du es online hast. Die Gruende hast du schon gehoert.

Dann lies den Code der Library, such Bugs, melde Bugs, biete an den Code zu verbessern. Die Welt hat aber absolut gar nichts davon wenn der Millionste PHP-Frickler die Millionste Spam-Schleuder entwickelt nur weil er a) zu klug ist um ne fertige Library zu verwenden die auch syntaktisch korrekte Mails schickt (sich nur auf sendmail zu verlassen ist nicht immer so klug) und b) keine Ahnung von Absicherung von Input hat. Nimms mir nicht uebel, aber in diesem Fall meine ich es mit der gesamten Boshaftigkeit die man im Text rausliest.
Zur Regex die die E-Mail-Adresse validiert:
* foo+something@web.de (ist gueltig, wird abgelehnt)
* somebody@deutsches.museum (ist gueltig, wird abgelehnt, vgl. auch .museum auf Wikipedia)
* abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwx yzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuv wxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrst uvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqr stuvwxyz@abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvw xyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstu vwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrs tuvwxyz.de [die Leerzeichen bitte ignorieren, die Software fuegt diese ein] (ist ungueltig, wird akzeptiert)
Du solltest dir evtl. nochmal RFC 5322 zu Gemuete fuehren.

Greetz
alcaeus

Na ja gut, mit strip_tags schmeiße ich ja den ganzen HTML-Code raus.

Was wäre eine bessere Lösung?

wenn der string \n enthält fehler ausgeben, bei der eingabe über ein einzeiliges input kann es sich eigentlich nur noch um einen hack handeln?