Come al solito spero di avere postato in luogo giusto e di non fare domanda terribile... ...

Ho sito web con modulo di contatto... Avevo inserivo (errore mio) solo controlli js lato client che verificavano se campo e-mail e campo testo erano riempiti. Salle statistiche ho notato che negli ultimi due giorni ha visitato il sito un browser java su s.o. java... che ha inviato due messaggi dal modulo contatto, riuscendo a bypassare controlli...

Allora, ho già visto alternativa (come risposta ad altre domande simili) websecurity 1.2, ma prima di passare a quella soluzione le domande sono queste...

Ora ho inserito controlli lato server... Sono sufficienti?
Come sono riusciti a spedire un modulo senza compilarlo?
Avete link di approfondimento tipo "manuale per tonti..." che spieghi bene bene tutto quello che va fatto per evitare spam, evitare difficoltà, evitare SQL injection (così metto a posto anche lato amministrazione, anche se per quello ho già testato e non ho trovato bachi... Ma la mia capacità di trovare bachi è limitata... Ho seguito i manuali vari e i consigli vari trovati online... Ma come faccio a sapere se ho controllato tutto...?), etc...

Esiste un servizio on-line (possibilmente gratuito... :rollo: ) che testi se il sito è sicuro...? Io, al di là delle regole base (fissaggio apostrofi, render di parole pericolose, verifica che il post provenga dal sito sul quale il messaggio/testo è postato) non ho altre idee...

Grazie per pazienza
ciao