[inne][MySQL][PHP] Ochrona przed włamaniem do mysql Opcje

[troian]

Witam, mam problem z włamaniem na serwer, tzn facet który dokonywał włamań zmieniał treść wyświetlaną na stronie która była zawarta w tabelach mysql, zastosowałem zabezpieczenia w postaci sprawdzania znaków jakie zostały wprowadzone do $_POST oraz $_GET oto fragment kodu sprawdzający ów działanie:
Pierwsza funkcja obcinająca niepotrzebne znaki: takie jak @ # itp [ do emaila mam inną funkcję ]

[PHP] pobierz, plaintext 
  function znaki($string) {
    $sprawdz = preg_match("/^[a-zA-Z0-9]+$/",$string);
    if($sprawdz) {
      return true;
    }
    else {
      return false;
    }
  }
[PHP] pobierz, plaintext 

następny to filtry które dla pewności usuwają ów znaki

[PHP] pobierz, plaintext 
	function clearstr($string) {
		$string = trim($string);
		$string = htmlspecialchars($string);
		$string = stripslashes($string);
		$string = mysql_real_escape_string($string);
		return $string;
 
	}
[PHP] pobierz, plaintext 

do $_GET i $_POST które są tylko watościami liczbowymi dodaje przedrostek (int)

Oto jak to wygląda w kodzie

[PHP] pobierz, plaintext 
funkcja dla watości liczbowej $_GET
	if (znaki($_GET['poz']))
	{
		$page = (int) clearstr($_GET['poz']);
	}
 
A $_POST w taki sposób:
 
znaki(clearstr($_POST['login']))
 
[PHP] pobierz, plaintext 

Czy ktoś zna jeszcze jakiś sposób włamań oraz w jaki sposób można by go zabezpieczyć, Bardzo proszę o pomoc bo sporo się napracowałem przy stronie a teraz jakiś pajac od którego nie chciałem kupić projektu niszczy mi stronę.

[Wazniak96]

Moduł mysql_* jest już uważany za przestarzały, a wręcz ma być wyprowadzany z PHP. Do tego jest podatny na różne ataki. Poczytaj o PDO i bindValue. To pomaga na większość włamań (a przynajmniej nie znam żadnego możliwego obejścia tego). Do tego jest ono nowoczesne i ponoć szybsze, choć przy moich małych projektach nie wyczułem dużej różnicy (IMG:style_emoticons/default/smile.gif)