Насколько боты директа умеют отправлять формы

А вопрос будет?

Ну допустим. Может ли бот например по определенной базе пробегаться, например многие в корень папки кидают sender.php. mailer.php Условно как то активируя этот файл. Вопрос был насколько боты вообще прошарены в плане отправки форм. Повторюсь я ввел защиту от отправки в которой тупо нельзя вводить буквы, а мне приходит заказ звонка в поле номера которого написано НОМЕР ТЕЛЕФОНА!

На сайтах без рекламы стоит такой же аналог, где мне приходит вся инфа вплоть до страницы с которой отправлена заявка. Без цифр ее отправить просто невозможно

Значит твоя валидация просто не работает. То есть маска может и срабатывать на фронте, но на бэкенд может отправиться что угодно. То есть бот собирает пост-запрос и шлет его, минуя валидацию твою. 

Вот интересненько. Потому что все в голос орут настраивайте форму так, чтобы боты капчу вводили и прочее. По факту если отправляется пост запрос, сделать уже ничего нельзя. Хотя это скорее вопрос чем утверждение.

проверка формы должна быть как на фронте так и в беке, поинтересуйтесь как гугл рекапча самая простая работает, ее конечно сейчас тоже обходят, но будет понятно что как устроено

Можно и нужно. Например запретить пост-запрос если капча не пройдена, отправлять верификационный токен... масса способов есть.

Для начала сделайте хотя бы проверку при прямом обращении к файлу if $_SERVER['REQUEST_METHOD'] === 'POST'

у вас в php скрипте нету проверок. 

А если сделано так. У меня относительно вручную есть еще одна форма отправки. Там скриптом генерируется 3-4 числа и при вводе она отрабатывает. Другими словами без гугл капчи. К слову там в url добавляется #sucsess когда капча пройдена. По моему надо этот метод до ума довести. Конкуренты по пол ляма в месяц сливают в сомнительной теме. Я думаю яндекс их там и в хвост и вгриву. Но клиенты надо признать есть...Вобщем боты серьезная проблема

нет там отправка только. Но если его в url браузера вбить он не будет отправлять.