Den typen av lösning ser både opraktisk och potentiellt osäker ut. Det kommer inte att sluta väl för din server om du råkar spara en mailadress som innehåller citattecken, till exempel. Lek med tanken att någon sparar "adressen"
Kod:
test@example.com";do_evil_stuff();$x="hej
Då kommer din fil att se ut så här:
Kod:
<?php $to = "1här, 2här, test@example.com";do_evil_stuff();$x="hej"; ?>
Funktionsnamnet "do_evil_stuff()" används bara som ett exempel - en angripare skulle rimligen stoppa in något som faktiskt är farligt där istället, vilket kommer att exekveras när någon besöker sidan.
Gör som xpqr12345 föreslog och spara till en databas istället. Om någon skulle lyckas stoppa in en ogiltig mailadress så kommer det i alla fall inte leda till att din server blir kapad