>>56
Sendmail の引数で指定するのは、一般的にはやっちゃいけない方法と言われてるね

リスクとしては、

OSインジェクション >>> メールアドレス漏洩 だし、

シェルに解釈されないようにする&RFC準拠のメルアドを全て使えるようにする手間 >>> 改行コードとカンマとスペースを排除する手間

シェルコマンドは色々あるからね。
まぁシェルコマンドを全部エスケープすればすむだけだとは思うけど。