Todos los fines de semana me están hackeando la página , a ver si me ayudan a encontrar la vilnerabilidad en el código.

Creo que consiguen hackear la página inyectando el código a través de un formulario de contacto que existe en la web .

La página no tiene conexión a base datos ni sentencias sql. Al principio pensé que el problema residía en que estaba usando variables para componer los includes, es decir, utilizaba:

include $root."/includes/title.inc.php";

Evité esto, y lo sustituí por:

include $_SERVER["DOCUMENT_ROOT"]."/includes/title.inc.php";

Pero el hackeo se sigue produciendo . La solución creo que pasa por validar adecuadamente los campos de texto del formulario, he utilizado diversas fórmulas pero no consigo evitar los ataques.