Perdon... me ausente por un momento..

El formulario lo valido mediante javascript, evitando enviar campos vacios al llamar el script enviar_correo.php declarado en el atributo action="enviar_correo.php" del formulario, la llamada a la funcion que valida tambien la he declarado en el evento onsubmit="return validar()" del formulario..

aahh!! al cargar el formulario contacto.php inicio una sesion, y al llamar al script enviar_correo.php verifico que esa sesion exista, y sino existe quiere decir que fue llamado de un formulario falso, es decir del server del maldoso o que fue llamado directamente mediante su url, con lo cual redirige al formulario verdadero... y si existe la sesion verifica que tenga el valor valido la variable de sesion.

saben... lo que me imagino que hace esta malevolo es como les habia comentado antes...
abre primero el formulario verdadero con lo cual como les comento se inicia una sesion y con la sesion establecida.. echa a andar su server local y ejecuta el form falso que permite enviar campos vacios..

una duda.. segun yo tengo entendido que cuando se establece una sesion con php, se establece en el modo servidor-pc, y no de servidor-pagina_servida, o estoy equivocado??

xq si es servidor-pagina_servida entonces no habria forma de que una pagina (script php) en un server local pueda hacer mal uso de una sesion establecida con una pagina (contacto.php) verdadera para hacer mal uso de los scripts en un dominio.

pero bueno.. aun sigo echo bolas