как защитить сайт от взлома

Ответ от LeoS[активный]
конкретно ты ни как, этим занимаются те кто предоставляет хостинг (у кого его размещаешь) . максимум что ты можешь сделать - это придумать пароль от аккаунта на сайте хостинга по больше и по сложнее и не в коем случае не пользоваться парольными сохранялками и не сохранять пароли в браузере
если сайт ломанули пиши саппорту, только они могут что то сделать, и всегда после изменений на сайте обязательно делай бекап всех файлов и сохраняй его на у себя на коме в архивах и копии 2-3

Ответ от Прием Заказов[активный]
Пароль длинный поставь! не только буквами или цифрами а в перемешку, например: f7g678tb880h6vvnh85h.
и самое главное пароль в компе не записывай, лучше куда нибудь на листочек запиши!

Ответ от Ёлава Песик[гуру]
1) Не использовать IFrame
2) Не передавать критические к безопасности параметры в строке адреса и не хранить их в куках (и вообще - чем их меньше, тем лучше)
3) От воровства контента может защитится, обрабатывая свойства родительских элементов в JavaScript, проверяя URL'ы, имена и проч (и выполняя код, который обезображивает страницу своровавшего, или отправляет уведомление тебе) . Желательно будет помещать в различных местах и вариациях, чтоб в автоматическом режиме вырезать было проблематично.
4) Следует обратить внимание - куда юзера выбрасывает, когда введеная им адресная строка не содержит адекватного адреса скрипта или страницы.
Наиболее известная дырка, на моей памяти, связана с использованием SQL. Суть объяснять долго (поисчите в сети "SQL-инъекции"), но смысл в том, что содержимое полей, учавствующее в SQL запросе проверять особо тщательно, вплоть до запрета любых символов, кроме букф.
И конечно - контроль длинны. Переполнение буфера (overflow) - самое первое что приходит в голову, когда речь идет об удаленном взломе. Все значения должны строго умещаться в размер выделенных под них переменных и полей БД. Всё лишнее - отрезается.
Естественно, конечный контроль осуществляется на стороне сервера (т. е. серверным скриптом, ибо на клиенте и ламер все проверки отрежет за 5 мин. при желании) . Правда, чтобы флеймеры и coolхацкеры не тревожили сервер по пустякам - клиентский скрипт пусть тож фильтрует (а серверный для надежности!) .
Во избежание DoS ограничить трафик для одного соединения и ограничить количество соединений для одного IP.
Против ботов - капча.
Против спама (если речь о почтовом сервере) - есть одна индейская хитрость (про нее МышхЪ писал, кстати - его почитай, про безопасность) : заводишь подставной ящик с длинным и абсолютно бессмысленным именем, и никто про него не знает. Понятно дело, тот, кто пришлет туда почту - спамер.
Кстати, пытался однажды скачать PHP Download Master'ом (просто руки зачесались) . Правду народ говорит - нельзя это сделать, впрочем и так можно было догадаться.
На одну лишь букву закона в сфере IT полагаются тока идиоты, мегакорпорации и федеральные службы. Наберите в гугле "кряк","крэк","crack" или "таблэтка" - в этом вы убедитесь.
У любой защиты есть критерии, хорактеризующие ее, как хорошую защиту. Это:
1) Однородность;
2) Цель взлома не оправдывает средства;
3) исчо несколько.. .
Защита - дело тонкое.

Ответ от 3 ответа[гуру]

Ответ от 3 ответа[гуру]