Hi,

Schreibe die Empfänger-Adresse deshalb einfach
in das Script hinein.
Natürlich nur wenn Du als Empfänger immer die selbe
Adresse hast. Sonnst mußt Du nämlich für jedes
Formular ein eigenes Script bauen...

... oder im Skript eine Umsetzungstabelle zwischen
zulässigen realen Zieladressen und deren symbolischen
Äquivalent anlegen.

Die Sicherheitslücke besteht ja nur darin, daß die Zieladresse _frei_ wählbar ist - nicht darin, daß
sie über Parameter variierbar ist.
Nicht der HIDDEN-Parameter ist das Problem, sondern
seine ungeprüfte Verwendung durch das Skript.
Würde das Skript beispielsweise nur Adressen mit
bestimmten Mustern durchlassen (z. B. an die eigene
Domain), dann wäre es auch schon nicht mehr zum
allgemeinen Spammen verwendbar.

Viele Grüße
      Michael

(der das Skript selbst auch einsetzt und dabei bisher mit der "Primitiv-Anpassung", nämlich der fest eingebrannten Ziel-Adresse, auskommt)