Nur was in den Header gelangt, ist kritisch. Betreff und Body stellen kein Problem dar.

Also für Buffer-Overflow o.ä. dürfte es ziemlich wurscht sein, wo da was reinkommt. IMO geht es ja nicht nur darum, Werte ist Script zu pushen sondern durch Manipulation Code auf den Server zu spielen und auszuführen.
Keine Ahnung, wie der aktuelle Stand dazu ist, aber Prüfungen schaden nie ;)