Одно только смущает - незнание каких-то тонкостей.
Погугли, есть же масса статей, и о взломе и о защите.
Вообще я программист, но интернет программированием никогда не занимался
Тут сложность только в существовании множества уровней, на которых может происходить атака: ОС, сервер, БД, языковой интерпретатор. Если почитать fix-листинг ранних версий php4 волосы встают дыбом, а сервер на NT/IIS не ложится разве что под моей бабушкой
Но для большинства разработчиков это пофиг, главное самому не накосячить, и общее правило только одно – не доверять никаким данным, пришедшим извне.
В свое время работал в конторке, проводили аудит безопасности корп. сайта, там группа девелоперов решали проблему в лоб:
механизм «жесткой» сессии с 128-битными идентификаторами и ip-браузер-привязкой, безжалостная фильтрация ввода, все не алфавитные-цифровые символы просто не проходили, из запросов вырезался любой намек на sql-иньекцию...
А база открылась через передачу заголовка c sql, хитровпихнутым в user_agent
