Dit kan gebeuren mits er in je url staat: id=3 of user=name of als ze hierachter kunnen komen.
Via deze url kunnen ze indien mogelijk je database hacken via MySQL injection. Hierdoor krijgen zij jou database gegevens, indien deze hetzelfde zijn als je ftp gegevens kunnen ze erin

Dus zorg er gewoon voor dat je een verschillend wachtwoord hebt voor alles + nergens iets=iets hebt staan.

Als root op de servers inloggen werkt natuurlijk ook.

Wat ook voorkomt is natuurlijk de welgekende XSS injection via het zoeken

Citaat van Malik

bboy kan je met sql/xss injecties ook de php script achterhalen? want volgens mij was alleen database leegmaken.

@BrokenTrack Persoon heeft van niks de inlog of bedoel je iets anders?

Want ik ken wel een paar mensen die me gewoon letterlijk een script van me hebben laten zien...

Je site is gehost op een server. Een server heeft een OS, zoals Debian, CentOS of Windows. Je kan dus ook op de server inloggen met alle bestanden op. Als de hacker als root inlogd (dus administrator) dan kan hij natuurlijk bij alle bestanden. Dus ook je scripts.

Ook vanaf buitenaf kan je inloggen op de servers

En staat er nergens een ip van hem in? in de logfiles of in directadmin ofzo?

Vrij simpel, gebruik je criminals met een captcha code of iets in die richting ?

Ga eens met google chrome naar de website en klik eens met de rechtmuisknop, dan element inspecteren weergeven.

En surf daar eens rond? Dan heb je alles wat je moet hebben!

Citaat van brentvdh

Ga eens met google chrome naar de website en klik eens met de rechtmuisknop, dan element inspecteren weergeven.

En surf daar eens rond? Dan heb je alles wat je moet hebben!

Ja natuurlijk, dat is client-side daar krijg je niet de server-side gedeelte hoor...

Dan krijg je toch alleen de html?

Citaat van Dpm_x

Dan krijg je toch alleen de html?

Klopt, zo gemakkelijk zal het niet zijn om de PHP oid zou wel leuk zijn maar nee zo werkt dat niet.

Ja, maar dan kan je er nog heel wat mee doen hoor.

Bij mij hebben ze heel mijn website er zo af kunnen halen.

Citaat van brentvdh

Ja, maar dan kan je er nog heel wat mee doen hoor.

Bij mij hebben ze heel mijn website er zo af kunnen halen.

Kan ik nog veel sneller, voer een URL in een programma en hij download alles van client-side.
Wat heb je daaraan dan, helemaal niks want het is ook nog eens illegaal om te gebruiken.

Ja, dat weet ik ook wel dat het illegaal is :p

Maar sommigen trekken hun daar helaas helemaal niks van aan, en probeer hun website dan maar eens online te krijgen zonder advocaat.

@Malik
In sommige criminals code zit een captcha waarmee een config uitgelezen kan worden (PHP dus).
Denk dat je fout daar zit, meeste criminals sources zijn zo slecht maar niemand weet dit.
Daarmee bedoel ik dat je van alles kan uitvoeren op de gedownloade code.