Ontem logo apos fazer o post ai abaixo, fui atrás de algumas explicações sobre o $header da função mail() e acabei descobrindo algo que até então eu não sabia: SQL Injection

Trata-se de uma falha de segurança que permite injetar código malicioso para fins nada amigáveis, por exemplo na função mail().

Nisso andando pra lá e pra cá no Google eu acabo por cair em uma pagina no phpwiki que explica formas de se proteger do SQL Injection e uma delas (até um tanto controversa) é o uso do magic quotes.

Pra variar a página estava fora do ar (ou é xilique de dns) mas nada que recorrendo ao wayback machine não resolva:

http://web.archive.org/web/20080204231757/http://www.securephpwiki.com/index.php/Email_Injection

Dai lendo sobre o magic quotes (não me lembro a página), me deparo com o trecho abaixo:

The magic_quotes_gpc PHP configuration directive affects Get, Post and Cookie values. If turned on, value (It’s “PHP!”) will automagically become (It\’s \”PHP!\”).

E claro, o Jannone já cantou a bola no comentário. É o recurso dúbio do “magic quote” que esta ativado no servidor linux.

E o pior que nem é culpa do administrador, pois o magic quote sai habilitado por padrão na instalação do PHP4, e não é habilitado no PHP5 (o que eu estou usando aqui localmente).

E como já no servidor linux esta instalado o PHP4… bummmmm….

Assim sendo, até que o meu remendo não é dos piores e nem o mais dos feios, pois ele é transparente no caso de rodar aqui localmente no PHP5 e faz sua função lá no servidor onde tem PHP4.