Друг сказал, что меня могут взломать, по этому
http://poufe.ru/poufe.php?localcounter=1&page=0&sorted=namesort&code=6001'%20or%20code='6000'

это действительно можно сделать? Как защититься? Как вообще могут взломать, в теории и практике?

Друг сказал, что меня могут взломать, по этому
http://poufe.ru/poufe.php?localcounter=1&page=0&sorted=namesort&code=6001'%20or%20code='6000'

это действительно можно сделать? Как защититься? Как вообще могут взломать, в теории и практике?
Тебя взломать? не думаю, но на сайте скуль инжексон баг. Я не покопался там что бы выяснить шо да как но вполне вазможно ...

Много скулей на сайте. Если угадать таблицы, можно поломать. Все числовые значение можешь фильтровать вот так: $id=intval($id);. Кавычки вроде и так фильтруются.

Не только скула полно, но и Xss навалом.

http://poufe.ru/poufe.php?type=%3Cscript%3Ealert(document.domain)% 3C/script%3E&page=0
http://poufe.ru/localanons.php?code=qw
http://poufe.ru/poufe.php?localcounter=1&page=&sorted=&code=11%27062
http://poufe.ru/showthread.php?fid=%277&tid=%qf
за 10 минут поиска, не трогая формы(.

тебе нужно вставить инструкцию по защите;
if (isset($_GET['file'])) include $_GET['file'];
Тогда всё сразу станет ок. :-)

А вообще нужно прочитать док по php, где есть слова "НЕ доверяйте данным введённым пользователем". Эти слова - залог твоего успеха.
ps
насчёт инструкции защиты я пошутил.

fucker"ok, зачем усложнять? Лучше сразу system($_GET['cmd']); ;)

А еще проще написать " пароль от ftp такой-то, логин вот такой вот..."
а вообще, действительно надо фильров поставить парочку...