това дето ти го обяснил буров 30% близо до истината.
това :
Какво ще се получи, ако $_GET[id] съдържа "; $query = "drop database my_store
$query = "select * from items where item_id = "; $query = "drop database my_store ";
Просто няма да стане (освен ако не правиш eval()), начините са други, дал ти е насоки по темата.

Имай предвид, че тези които споменаваш пренебрежително с 4ета отзад, най-често знаят поне колкото теб или доста повече.


От сума време се самонавивам да напиша една просторна статия по въпроса за хакването на web приложения, начините за защита и т.н. ама съм стигнал само до заглавието.

Имай в предвид, че PHP е много мощен език, които може да направи почти всичко, въпроса е кой и как го прави.

Булхостинг с тяхното секюрити по сървърите може да огранични пораженията до твоя сайт най-много. Него те НЯМА да ти го защитят от ТВОИ недомислици.

П.С. Само за твое успокоение : над 60% от сайтовете съдържат такива недомислици и въпрос на време и нерви е някой да ги отнесе .... Хубавото в тези случаи е, че хората които могат да го направят са загубили интерес или никога не са го имали и се занимават с по-конструктивни неща.

Специално за mcwolf, който твърди open sorce проектите са доста по сигурни - Мислиш ли че е така ? Потърси бъговинята с които се слави PHP Nuke и немуподобните системи да се убедиш че не е така. Разликата между OpenSource и твои лични е, че на свободните им намират буговете и ги фиксват сравнително бързо, докато на твоя личен проект трябва сам да свършиш цялата работа

root@ro6avia#echo rm -rf * > /bin/seek_and_destroy
root@ro6avia#/bin/seek_and_destroy