Nunca confie no usuario: validacao e sanitizacao na pratica
O usuario vai colocar tudo que nao devia no seu formulario. Script, SQL, emoji de 4 bytes, arquivo executavel disfarado de imagem. Aqui vai o que voce precisa validar e como fazer isso sem enlouquecer.