http://mogutan-blog.com/?eid=315

不正な値を渡してあげるとどんどんspamを送れるっぽい．
こういうの減らないね．
それとは別件で今回は事実上あまり関係ないと思いますけど，htmlspecialchars()は値を受け取った瞬間に何でもかんでも吹っかけるんじゃなくて，HTML出力するものにだけ実行するようにしないとだめですよ．

あとシリーズの他のものを見ていると，XSS実行できるかもしれないですね．htmlspecialchars()の第2引数について調べてみるといいと思います．

勉強中ってことみたいなのでがんばってください．