Надо весь файл смотреть по данному куску кода точно сказать нельзя есть ли в файле дырка или нет, как мы тут видим $_POST['mail'] фильтруется htmlspecialchars(mysql_real_escape_string($_POST['mail']))