Возможно ли это для пользователя сети?
браузер для переопределения кодировки utf8
заголовок и отправить не-UTF8?
Конечно. Вы не управляете клиентом, и клиент может делать все, что ему захочется, в том числе разрешать пользователям переопределять обычные кодировки и вызывать отправку нежелательной почты (или то, что считается нежелательной) на ваш сервер.
Тем не менее, похоже, что вы предприняли здесь большинство важных шагов. Фактический HTML-документ имеет кодировку UTF-8 и явно помечен как таковой, что означает, что браузеры, как правило, по умолчанию также отправляют формы в этой кодировке. (Обратите внимание, что спецификация HTML не требует этого. Указание accept-charset в форме явным образом является единственной совместимой со спецификацией гарантией.) Я подозреваю, что это будет работать так, как ожидается во всех современных браузерах, и вы можете легко это проверить.
На сервере ваша работа всегда , чтобы проверить ваши данные в той степени, в которой это важно для вашей службы. Хотя подавляющее большинство ваших пользователей будут доброжелательными и используют современные стандартные браузеры, HTTP-протокол открыт, и здесь присутствуют как дурацкие пользователи, так и злоумышленники, и оба могут выдавать вам любые данные. Убедитесь, что вы не делаете предположений о кодировке данных, когда речь идет о безопасности или аутентифицированных данных, и очистите этот материал перед тем, как отправлять его в базы данных.