Sikkerhed i PHP

Det er et meget åbent spørgsmål og kommer meget an på hvor voldsomt det skal være og hvad det skal kunne? Alt er muligt med de elementer du nævner

Du kan eventuelt poste link til siden, så kan vi kigge den igennem

Jaah okay
Jeg tænker på så det ikke er muligt at komme ind i databasen, ikke er muligt at kunne komme ind i ftp og ændre filer/slette ting/upload ting til ftp.

Den er ikke helt færdig endnu, så i kan ikke se den

Synes du blander flere ting sammen? Nu ved jeg selvfølgelig ikke hvad du har på siden? Men skal det være et system der beskytter noget specielt?

Skal det være til flere brugere? Skal det være til en? Du bliver nødt til at komme med så meget som muligt

Sikkerhed i forbindelse med databasen, kan du øge ved brug af MySQLi i stedet for det "normale" MySQL. Det er nemt og lige til og jeg er selv igang med at lære det.
Dertil kan du ved evt. formularer brugeren udfylder, som gemmer data i filer eller SQL, som ovennævnt bruge MySQLi, men også gøre dette når du henter data fra formularen:

 //Til steder hvor der ikke må bruges HTML-kode eller scripts såsom javascript.
 //htmlentities omformaterer HTML-tags til noget siden/serveren ikke kan forstå og derved kan den ikke udføre det indtastede. mysql_real_escape_string gør det samme, dog bare mod SQL-kommandoer.
 $titel = htmlentities(mysql_real_escape_string($_POST['feltnavn']));
 //På sider hvor du gerne vil have mulighed for at bruge HTML-tags
 //f.eks. når du redigerer indhold på siden i backend, er det ikke hensigtsmæssigt at bruge htmlentities.
 $titel = mysql_real_escape_string($_POST['feltnavn']);

Håber at det gav dig en del af svaret på dit spørgsmål.

FTP (File Transfer Protocol) har ikke noget med PHP og gøre, så medmindre du smider dit password ud på forsiden, så har du ikke noget at frygte.

FTP (File Transfer Protocol) har ikke noget med PHP og gøre, så medmindre du smider dit password ud på forsiden, så har du ikke noget at frygte.

Det var forslag til sikkerhed i forbindelse med databasen, da det jo med stor sandsynlighed bliver hentet data fra SQL ud på siden, og ligeledes sendes til SQL.

Jaah okaay, jeg kan se hvad i mener..
Jeg mener bare at fx Anonymous kan hacke sig ind på ens server og ændre ens index-fil.
Også vil jeg gerne have noget sikkerhed for min MySQL database. Altså så man ikke kan hacke et password og slette et 'Table' fra databasen. Eller slette noget i databasen..

Håber det gav mere mening og gjorde det mere specifikt

Btw tak Kenneth Hansen

Jeg tror jeg har fanget hvad du mener med sikkerhed i mysql og at folk ikke kan rette og slette i din database.

Det du leder efter er så folk ikke kan bruge Mysql injection.

Det der er mest brugt til at sikre sig mod Mysql injection er Prepared statements: PHP.net's guide

Det er også muligt at sikre sig via mysql_real_escape_string:

 <?php
 $navn = mysql_real_escape_string($_POST[navn]);
 $alder = mysql_real_escape_string($_POST[alder]);
 
 mysql_query("INSERT INTO tabel(navn,alder)VALUES('". $navn ."','". $alder ."')")or die(mysql_error());
 ?>

Disse to vil gøre det stort set umuligt at få adgang til din database via input felter på dit website.

Håber du kunne bruge dette til noget

Tak Anton

Nu kiggede jeg lige på det link du skrev og så to muligheder:
1.

 <?php
 $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
 $stmt->bindParam(':name', $name);
 $stmt->bindParam(':value', $value);
 
 // insert one row
 $name = 'one';
 $value = 1;
 $stmt->execute();
 
 // insert another row with different values
 $name = 'two';
 $value = 2;
 $stmt->execute();
 ?>

2.

 <?php
 $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
 $stmt->bindParam(1, $name);
 $stmt->bindParam(2, $value);
 
 // insert one row
 $name = 'one';
 $value = 1;
 $stmt->execute();
 
 // insert another row with different values
 $name = 'two';
 $value = 2;
 $stmt->execute();
 ?>

Hvilken af disse to er bedst?