Chiedigli di spiegarti nel dettaglio come farebbe l'attaccante a fare quanto ha scritto visto che alla riga 45 imposti staticamente il valore di $emailto ($emailto="mia@mail.it".

Al massimo hai problemi relativi a $email (come in qualsiasi mail form), ma per quello puoi sempre usare un captcha.