Deravé vstupy

Ahoj, potreboval by som ochrániť pár vstupov (z $_GET udaje idu do db). No a potreboval by som názvy praktík ktore umožnia ziskať utočnikovi nejaku kontrolu nad webom/db. Sql inject aj xss by som mal nejake ďalšie napady nato ako by mi mohol uškodiť?
Ďakujem

Zásadne sa cez get parametre nepristupuje k url takej, ktorá robí priamo zmenu v databázi.
Napríklad dajme tomu, že máš niečo ako edit.php?action=delete_user&id=12
Ja ako útočník to môžem poslať adminovi ako zamaskovaný link a spoliehať na to, že admin je prihlásený (má aktívne session) Tým pádom vymaže užívateľa bez toho, aby s tým mohol niečo robiť, ups

A toto je ten lepší prípad. Ak ti idú veci z GET parametra priamo do databáze, tak je to oveľa horšie. Nerob to. Vždy choď cez post.
No a čo všetko treba ošetriť, no všetko čo sa dá. Asi neexistuje nejaký zoznam, či návod.

Aj post sa dá upraviť. Ale inak to urobiť nemôžem lebo to je python skript a ten len prečíta výsledok php a podla toho Dˇalej pokračuje, ale nemôžem sa spoliehať nato že ten .php nikto nikdy neobjaví. No znaky ako <, />,',",\\ som ponahrádzal za všeličo možné čo vyhodí syntax error ale neviem ešte čo všetko by som moholo ošetriť

Skus popozerat Ochrana PHP skriptov a vy, mozno tam najdes nieco uzitocne

POST data z nejakeho formuláru sa dajú jednoducho upraviť, pri obrane proti CSRF sa používajú často tokeny priamo v URL.

Jasné, že aj post sa dá podvrhnúť, ale nevieš to využiť tak, ako popisujem. To je tá najzákladnejšia technika, ktorá by sa mala dodržiavať.