Mam pytanie czy formularz kontaktowy powinno się dodatkowo zabezpieczać np metodą htmlspecialchars? Chodzi o pole tekstowe. Przed robotami powinna chronić dobra captcha, ale co z resztą zabezpieczeń? Nie zapisuję tych danych do bazy ani nigdzie nie wyświetlam aczkolwiek czy można być spokojnym o to co wprowadza użytkownik i wysyła drugiemu na pocztę e-mail?

rób, trimuj, itd wszedzie zabezpieczaj tak samo, nie bo trzeba tylko bo tak szybciej

Jak najbardziej. Powinno się sprawdzać i zabezpieczać wszystkie dane które mogą być przesłane na serwer z zewnątrz. Baza danych to nie wszystko, niezabezpieczony formularz otwiera też inne możliwości zrobienia zadymy, chociażby atak XSS.

Zamiast funkcji htmlspecialchars używaj funkcji htmlentities.

Pozdrawiam,
shx