在电子邮件正文中引用/转义变量

基本的电子邮件消息正文是纯文本。如果您想使用其他类型（例如HTML或多部分消息），则需要使用MIME扩展并使用Content-Type指定相应的类型（例如，对于HTML使用text/html，对于多部分消息使用multipart/…）。
因此，从安全的角度来看，无法注入任何有害内容（至少按照规范是这样）。即使缺少所使用字符编码的声明，非ASCII字符也应该被正确处理。
但是，仍然可能存在某些电子邮件客户端存在漏洞，可以利用这种方式进行攻击。但我不太确定。

将电子邮件正文视为“任务绝密目的地未知”。我们可能不知道哪种客户端会阅读该消息，但我们可以猜测我们不希望出现实时、用户提供的、未转义的HTML。由于许多客户端以HTML格式阅读邮件，最好的做法是对用户提供的电子邮件正文进行“htmlentities()”处理。
来自我的转义类的一个方法。

<?php
class escaper
{
    public function superHtmlEntities($string)
    {
        return htmlentities($string, ENT_QUOTES | ENT_HTML5, 'UTF-8', true);
    }
}
?>

========================================

至少在你进行研究时，考虑类似这样的东西以及更多。

<?php
$esc = new Escaper();

$usercontent = $_GET['usercontent'];
mail("dummy@nowhere.tld", "My Subject", $esc->superHtmlEntities("My body with $usercontent included"));
?>

它没有防止XSS攻击，因为如果您的邮件包含HTML，某人可以将其注入邮件中。

良好的行为是检查和验证您期望拥有的数据。如果我是你，我会转义这个字符串。它几乎不花费任何代价，而且您不必担心不使用它的后果。

好问题。我认为您不需要转义正文，但是如果允许用户输入发件人地址，则可以添加邮件头（例如将密送抄送给数千个地址）。因此，如果在其中放置变量，请务必检查换行符（\n和\r），以确保不会添加其他标题。