Mimo majitele serveru (ve smyslu přístup k OS, jehož se "public" týká), přes HTTP server nemůže nikdo stáhnout kod php scriptu. (pokud všechno funguje jak má - například pokud hacker nestřelí php intepret)

teď jsem byl nucen udělat skript, kdy přes html formulář se odešle mail na moji adresu.

Většina chyb je v tomhle - uživatelé v formuláři dovolí používat HTML tagy, nevěří adresu, umožní podstrčit vlastní adresu, atd.