Hombre, no estoy seguro que haya sido por el formulario, pero quiero cubrirme las espaldas por si acaso.

Ese formulario no guarda nada en base de datos, solo envía por correo, con lo que no habrá problema de SQL injection, no es así?

Respecto a XSS y CSRF, con la función que comento arriba, estaría solucionado el problema? O necesito más seguridad?