Взлом сайта на PHP

С ссылкой врят ли что то найдёшь(%30 дыр и всё)
если даш исходиники то дыр будет найдено намного больше.
Я не думаю что ты написал проект который стоит ~1000$ - поэтому исходники можеш давать кому угодно и сколько угодно(естессно если уверен что дыр нету).
Если обратно переубедишся то стукни 188069

А хакер заходят на сайты от которых у них есть исходники?
Я тебе потом свою ссылку дам, посмотреть, если ты не против.
Исходники не дам, проект не мой, пишу на заказ. Поэтому как бы права раздавать исходники не имею.

-----
Truly yours, Sasha.

Знаете пусть сайт и не стоит 1000 баксов, но когда его ломают не очень приятно. У меня уже 2 раза на разных сайтах такая проблема была, правда не по моей вине. Исходниками я точно делится не буду. Взломают так взломают, буду искать дыры сам. Спасибо всем за добрые советы. Теперь знаю что буду делать.

-----
..я не специалист, а только учусь

Ссылку хоть бы дал...
Если сломают нарочно сейчас и скажут что к чему - куда лучше если сломают потом и не пришлют тебе пояснения..

-----
Truly yours, Sasha.

Я его ещё пока не дописал. Как допишу посмотрим.

-----
..я не специалист, а только учусь

Ну как хотите. Если ссылку дадите - смотреть не буду т.к. деньги на инете всётаки не казённые, к тому же с исходниками намного проще. Рас исходники давать боитесь то сделайте следующее:
1. Слейте XSpider и просканьте свой сайт (желательно на локалхосте -паук трафик не хилый генерит) с профилем HTTPcontent (там подписано что для разработчиков профиль). Если он покажет Вам серьёзные уязвимости(XSS тоже к ним причисляйте) то вперёд искать. Если паук молчит то значит от большинства маленьких хакерят Вы себя оградили.
2. Каждый передаваемый параметры пропускайте например через такое регулярное выражение:
$param=ereg_replace("[^a-zA-Z0-9]","",$param);
тут в $param заменяются на пустоту все символы кроме маленьких и заглавных букв и цифр(тоесть кавычки, слэши, запятые и т.д.).
3. Фильтруйте опасные символы во всех кукисах(если имеются)
4. Если проводите какие то операции с реферером, IP или USER_AGENT то их тоже обязательно фильтруйте. А IP вообще лучше получать через REMOTE_ADDR т.к. client_ip и x_forwarded_for подделываются так же легко как referer и user_agent.
5. Если ставите какие-то публичные скрипты(форум/голосование и т.д.)
то проверьте на сайте девелоперов последняя ли у Вас версия.

Спасибо за совет, уже ошибки нашёл, буду переделывать.

-----
..я не специалист, а только учусь

Спасибо, а как подделывается юзер агент?

-----
Truly yours, Sasha.

Вот этот код обращается к test1.ru/test.php и передаёт поддельные заголовки
#!usr/bin/perl
use LWP::UserAgent;
$client=LWP::UserAgent->new();
$request=$client->get("http://test1.ru/index.php",
'USER_AGENT' => "всё что нужно",
'CLIENT_IP' => "всё что нужно"
);

Ясно, спасибо.

-----
Truly yours, Sasha.

Помоему мы немного отошли от темы . давайте обсуждать это в другой теме.