1) Можно генерировать POST запросы бочками, тут уж фильтрация и только фильтрация.
2) А скрипту (по крайней мере PHP скрипту) о пути к sendmail'у знать и не надо, на это есть знания у модуля или cgi реализации самого интерпритатора.
Много странностей... к примеру? Извольте:
1) Последний print в коде.
2) Если varx != send, то выводится заголовок таблицы и все...
3) Судя по коду юзабилити никакого нет. Кому приятно, что после отправки формы будут выдавать сообщения с диагностическими сообщениями? Причем жавой...
4) Сама отправка письма - простейшая.
5) \n\n тоже странно выглядит, я больше к \r\n привык
6) Нефильтрованные данные позволят мне добавить в переменную $headers такие поля как Bcc и Cc, что позволит использовать скрипт как точку рассылки спама по нужным адресам.
7) Даже без п. 6 можно воспользоваться скриптом как мейл-бомбером - зафлудить мыльницу
test@test.ru
В общем, скрипт писАлся новичком...
