参考サイト

フォームデータの送信 | mdn web docs
https://developer.mozilla.org/ja/docs/Learn/Forms/Sending_and_retrieving_form_data

基本姿勢は自分を含むユーザーを信用しなこと

HTMLフォームは、サーバにとって最もよく使われる攻撃の起点。
HTMLフォームからの攻撃を防ぐには、HTMLフォームから送信されたデータをサーバが適切に扱う必要がある。
HTMLフォームから送信されたデータを信用しないという基本姿勢を持つ。

HTMLフォームをセキュアに利用するための具体的なアクション

• 文字を常にサニタイズする。
• 必要な量までしか、入力データを受けつけない。
• ファイルが送信された場合、ファイルは別のサーバに保管して別ドメインからのみアクセスを許可する。
• 適格な第三者からのセキュリティレビューを受ける。