Hallo!

Wenn du die E-Mail-Adresse wirklich nur (!) im PHP-Skript stehen hast, dann ist die Variante eigentlich relativ sicher. Ich wüsste nicht, wie man das Skript dazu bringen kann, die Mail an eine andere E-Mail-Adresse  zu schicken.
Baue doch am besten noch eine Grafik mit zurfälligem Text ein, dann kann sowieso kein Spam-Bot dein Formular missbrauchen.

Gruß,
Morten