Zabezpieczyć strone Opcje

[banki]

Witam,

zbudowalem sobie niedawno taką prostą strone z możliwością dodawania wpisów poprzez zalogowanie się. Niedawno ktoś dodawał dziwne wpisy, ktoś się bawił moją stroną, najwidoczniej znalazł jakoś hasło do panelu by dodawać wpisy. Zmieniłem hasło a za chwilę dodał się wpis że zmiana hasła nic nie dała ... hasła nie znał bo jest kodowane w md5. Nie wiedziałem jak zabezpieczyć strone, wszelkie zmiany hasła nie pomagały, dziś pojawił się tam jego wpis żebym w kodzie dodał:

[PHP] pobierz, plaintext 
if(preg_match('/^[0-9]{1,10}$/',$_GET['id'])) {
 
echo('stronka www');
 
}
[PHP] pobierz, plaintext 

i niby będzie spoko. Czemu służy to preg_match i jak on się włamał (dodawał wpisy)? Jeśli chodzi o zabezpieczenia strona z bazą danych jak widać jstem jeszcze cienki

Z góry dzięki za jakąkolwiek pomoc

[nospor]

Po pierwsze: poczytaj o SQLInjectio. Jest masa tego w necie jak i u nas na forum.

Po drugie:

hasła nie znał bo jest kodowane w md5

Trzymanie hasła w md5 jest niemalże jednoznaczne z trzymaniem go zapisanym jawnie

Po trzecie:
wszelkie dane jakie odbierasz od przeglądarki musisz filtrować. np. to ID to masz robić tak:
$id = (int)$_GET['id'];
I dopiero zmienną $id możesz używać do zapytania.

Teksty zaś musisz przepuszczać przez mysql_escape_string()
Ale to wszystko jest napisane przy SQLInjection

[banki]

dzięki za zainteresowanie, poczytam sobie o tym injection, a co do md5 to myślałem że jest w miarę bezpieczne

[nospor]

a co do md5 to myślałem że jest w miarę bezpieczne

10 lat temu było w miarę bezpieczne