Вы понимаете как работает apache?
Изначально он резолвит путь, в урле вашего запроса указан путь
url: "mail.php"
он делает редирект на /mail. А затем уже php обрабатывает запрос.
По коду. На дворе уже 2016 год, существуют PSR, по безопасности кот наплакал.