Säkerhet med php script, meddelande/mail funktion

Funderar lite på detta med ”skicka meddelande” script, dvs. man har ett php script på webservern som skickar ett mail.

Som besökare så skriver man bara in sitt meddelande och trycker på send, den html sidan med dess inmatad information hänvisas till php scriptet som sedan skickar iväg ett mail via sendmail. Ett praktiskt sätt för besökare att snabbt skicka meddelande.

Men hur säkra är detta?
Kan man komma åt själva php scriptet för att se vilken mailadress som är inmatad?

Vad jag är ute efter är ett idiotsäkert !?! meddelandesystem, dvs.
Besökaren skall skriva in ett meddelande som skall skickas till en mailadress.

Sitter och provar lokalt med en BSD/Apache server i mitt lan med ovanstående men är lite osäker på om man kan dra ner min settings.php fil som är själva skriptet.

Eller har ni något annat förslag på säkert meddeladefunktion?

Jag har sett sidor som har mottagaradressen i en dold variabel i formuläret. Den kan man ändra och på så sätt skicka mailet till vem man vill och det är ju inte ett så smidigt system. Fast ibland får man då ett felmeddelande om att den adressen inte är godkänd.

Att hämta din php-fil med inställningar ska inte gå, man får ju bara hem den html-kod php-filen genererar. I så fall skulle det vara via någon säkerhetslucka på servern.

Jaa.. det känns ju inte alls säkert! Jag har också sett såna.
Detta jag testar nu är en vanlig htmlsida som går till en php textfil, eller php-fil som sedan skickar mailet. I htmlfilen finns endas vanliga method="POST" som går till php scriptet som har mailadressen.

Ja eftersom du har alla inställningar och e-mailadressen i php-filen ska de inte gå att komma åt. Förutom via någon svaghet i programvarorna på servern eller i själv php-scriptet.