
Но вернемся к практике. Насколько Вы знаете (а знать должны), что файлы php чужому пользователю недоступны для просмотра, что они защищены сервером-интерпретатором на стороне хостера. Что в свою очередь позволяет нам не думать о защите кода php. О правильности его исполнения, тут не стоит глагольствовать. У каждого на это есть своя голова или "голова за деньги".
Взлом админки происходит посредством SQL-инъекций и запросов, после которых на экран выводится успешное сообщение с информацией о логинах и паролх пользователей и админа. То есть они выдаются из базы. Если подумать, что бд доступна для просмотра посредствами запросов и инъекций, а файл php не дает такой возможности? Улавливаете, что хранимые актуальные пароль и логин от админа хранятся в файле, а по запросам выдает их из базы? Смотрите код:
В папке admin есть файл login
Приведите код к следующему виду:
if(strtolower($_POST["admlogin"]) == strtolower("Впиши_Логин_Админа") AND strtolower($_POST["admpass"]) == strtolower("А_ТУТ_ПАРОЛЬ") ){