Det kommer an på hvordan din kode er bygget op og hvordan du saniterer input fra brugeren.
Typisk forsøges der nogle header injections i de data der sendes med; en klassiker er eksempelvis for dem som ynder at lade afsenderens email adresse stå som afsender fra sitet da det gør det nemt at blot trykke trykke 'besvar' i din mailklient.
Et kort opridset eksempel på det ville være noget ala:
<?php
$email = $_POST["email"];
$name = $_POST["name"],
$subject = $_POST["subject"];
$message = $_POST["message"];
$headers = "From: ".$name." <".$email.">\r\n";
$headers .= "X-Page: http://example.org/contact_us\r\n";
mail("to_me@example.org", $subject, $message, $headers);
?>
Hvis det data jeg sender med f.eks. $_POST["email"] indeholder:
site@example.org\r\nTo: you@example.com
vil der - uden sanitering af indholdet - kunne sendes en email, med indholdet beskrevet i PHP scriptet til you@example.org istedet for til den email du selv har angivet.
Det var en simpel forklaring, men der er mange flere muligheder.
Så om din kontaktform bliver brugt til sådan noget afhænger meget af den kode du har.
