Te dejo informacion
http://es.php.net/manual/es/function.htmlentities.php http://es.php.net/manual/es/function...ecialchars.php http://es.php.net/manual/es/function.strip-tags.php
Vamos que lo que te quiero decir es mas que nada que verifiques los datos que provienen de los formularios por que ejemplo si se espera un email verifica que sea un email , si se espera un entero verifica que sea un entero si se espera un nombre verifica que solo sea un nombre , aparte con las funciones que te he pasado puedes protegerte de acciones malas por los usuarios , en tu formulario imaginate que en vez de un email introducen codigo javascript (esto es posible)
te recomiendo
1- verifica que el dato sea tal y como tiene que ser (si es un email pues que sea un email)
2- escapa los datos como ya te dije.
$destinatario_form = $_POST['destinatario']; // AQUI VERIFICA