Mitől biztonságos egy program?

azért ennél egy kicsit többről van szó..

de menj bele jobban, csinálj egy oldalt, és próbáld meg feltörni a sajátodat, vagy valami galibát okozni szándékosan(már már túl könnyű)

ha nem megy, nem tud eleget az oldal :D

Nem vagyok én se teljesen otthon PHP-ban, de egy példa eszembe jutott, az SQL injekció: csinálsz egy bejelentkező felületet a weboldalra, aminél az enter lenyomása után PHP-val elküldöd a felhasználónevet és jelszavat egy SQL szervernek. Végignézed a szerverben található usereket, és ha létezik a megadott, akkor összehasonlitod a jelszavat, és ha az is egyezik, akkor beengeded a weboldaladra az illetőt. Na most alapjáraton a html formokba irhatsz bármilyen karaktert, vagy karaktersorozatot. Pl a jelszó mezőbe beirsz valami ilyesmit (a szintaxisban nem vagyok 100%-ig biztos): ' or '1'='1. Mivel a jelszavat valószinüleg egy "SELECT * WHERE ..." paranccsal nyered ki az adatbázisból, ez ki fog egészülni az ' or '1'='1-el. Ami mindig igaz. Nekem, amikor bemutatták a technikát ez azzal végződött, hogy a forráskód és az összes bejelentkezési adata az adott usernek ki lett irva a képeryőre. De lehet brutálisabb módon is használni, pl DROP TABLE paranccsal kiegészitve (ami törli az aktuális táblát az adatbázisból.. Minden felhasználói adattal, egyébbel együtt).

Alapvető védekezési technika az SQL injekció ellen, hogy az inputokban nem engedélyezel speciális karaktereket, csak számokat és betüket.