El problema con los campos no validados es principalmente la inyección de cabeceras.

Funciona así: alquien en el campo "Nombre" o en "EMAil" pone un salto de línea, algo como:

LoqueSea\nCC:[email protected],otramas@dom inio2.com

(en realidad no se hace con \n sino con un código hexadecimal que no recuerdo)

Y entonces estarías enviando el correo a [email protected] y a [email protected]. Resultado: usan tu formulario y tu ancho de banda para enviar correo basura (ya que también se puede, si los campos no están validados, sustituir el contenido del correo). Con la posible consecuencia de que la empresa de alojamiento te cancele la cuenta por enviar correo basura.


Solución:
Comprobar que no haya secuencias "\n" o "\r" en los campos de texto, y tener algunos cuidados también con las áreas de texto, por ejemplo no pegar el contenido junto a las cabeceras del correo.

Una regla de oro: Jamás confíes en la entrada del usuario, validá siempre. Y revisá los errores de seguridad más comunes en el tipo de sistema que estás programando (sea correo, bases de datos, o quizás sesiones).


Saludos.