а вот с этого места по подробней

если мы проверяем данные на входе, то какая разница, переданы они по ссылке гетом или формой постом?

тов.главнокомандующий, прошу не кипятитесь, чисто интересно

только проверяешь соответствующие массивы. и гасишь  те, которые не нужны(например, обнуляешь $_GET). а для проверки строки на инъекции либо пишешь регулярку, запрещающую определенные символы, которые являются командными словами для твоей CУБД, либо обрабатываешь текст функциями типа htmlstriptags(), которые гасят основные тэги. А лучше- и то, и другое 

bars80080, ну я же уже объяснял, в другом топике.
И ты в нем, по-моему, участвовал.
По гет-ссылкам могут ходить роботы. И могут такого находить, что от базы ничего не останется. А кнопки в пост-формах они не нажимают.

А при чем здесь проверять на входе - непонятно.

Nedriaous, во-первых, если тебя интересует действительно получить ппростые, но исчерпывающие знания по защите от SQL-инъекций, то постарайся ответить на все вопросы, а не на один.
По поводу несуществующей страницы. Тебя интересует, как сделать, чтобы пользователь не видел сообщения об ошибках? Это просто. Не выводить их пользователю =)
подробнее можно прочитать здесь: PHP FAQ: Обработка ошибок, часть 1. Общие принципы.
Если я неправильно понял вопрос, то постарайся сформулировать более точно. И ответь (хотя бы себе) на другие мои вопросы.

Severyanin, а какая связь между БД и тэгами? Вопрос риторический, отвечать на него не надо. И советов по защите от инъекций тоже давать не надо. 

да, что-то такое вспоминается, теперь буду знать вернее
но как же тогда пресловутый поиск, который даже если из формы, то гетом, он ведь тоже может много чего вытащить, а он используется на том же яндексе?

сорри, если сморозил очередную глупость

Feldmarschall, 

тут нужно следить за тем чтобы id сессии не попадал к роботу. А "только пост" лишняя перестраховка.

Добавлено через 4 минуты и 5 секунд
да и nofollow никто не отменял

но на обычном же сайте авторизации нет, поиском пользуются все кто хочет

 а это что такое?

bars80080, если нет авторизации, то нет и удаления контента. )
если у ссылки выставлен rel="nofollow", то поисковик по ней не пойдет.

Можно попросить модераторов вынести обсуждение GET vs. POST в отдельный топик? 
я не ожидал, что будет столько вопросов по столь очевидной проблеме.

bars80080, при чем здесь вытащить? Речь идет об удалении, а не вытаскивании.

solenko, все эти рассуждения про nofollow и "лишняя перестраховка" можешь рассказать себе в утешение, когда останешься без базы, поставив себе Google Desktop Search, или какую-нибудь подобную программу. А про nofollow отдельно читай лекциивладельцам всяких флашгетов и гозилл. Они тебя с большим интересом выслушают.

Feldmarschall, Google Desktop Search использует авторизацию браузера и индексирует не только загруженную страницу, но и все ссылки с нее?
И пичем тут "флашгеты и гозиллы". Всегда можно найти вариант софта, который при использование которого может привести к проблеммам. Вы думаете нет ни одного паука, который умеет сабмитить пост формы?

Я думаю, что есть отраслевой стандарт - изменяем базу Постом, запрашиваем - Гетом.
Однако запретить совать голову в петлю, руководствуясь идеалистическими соображениями "у меня никогда не будет проблем с авторизацией" я никому не могу. Могу только порекомендовать поискать в гугле отзывы таких идеалистов. На сем дискуссию завершаю.

а, да что-то лопухнулся, инсерт без авторизации нельзя

а вопросы, следствие того что большинство народу, в т.ч. и я слабо соображают в пхп, иначе не спрашивали бы

а как тогда можно вытащить id сессии? робот, он же не регистрируется? откуда у него могут взяться сессионные переменные?

bars80080, авторизация делается не только сессиями. ид сессии попадает к поисковику элементарно. выкачать после этого он, может, и не выкачает, но ид сессии поисковикам отдают сплошь и рядом. 
Вот тебе, к примеру, ссылка на этот топик, как я её вижу сразу после того, как вошел на форум: http://forum.vingrad.ru/forum/s/aa8ee48589...pic-203139.html (ид заменен)
Вот я её запостил. теперь ид моей сессии находится в открытом доступе.
Бывают ещё ошибки в работе авторизации. И много других случаев, на которые опытный программист не закрывает глаза, заявляя "у меня никогда ничего не ломается".

хм, хочу что-то спросить не знаю как...

опана, допёрло, здесь что без сессии делается?

тогда вопрос по существу, сейчас я везде пользую только сессионный способ, тому подобные поисковики не сумеют ломануть её как-нибудь? ведь я так понимаю, у них ведь просто материала не будет с чем работать

вопрос по той причине, что этот топик ввёл в сомнения, хочется восстановить душевное равновесие

Не афишируй нигде на сайте ID сессии. Тогда почти стопроцентная вероятность защиты от несанкционированного доступа со стороны бота.

Как это - без сессий? Без сессий сейчас практически никто не работает. Наоборот, с сессией. Хрестоматийно, по дефолту: при первом заходе дополняются ссылки и ставится кука. Дальше, если куки работают, ссылки не дополняются.  
Отключи в браузере куки и попробуй походить по форуму - все наглядно. Я не проверял, но думаю, что сид будет светиться в ссылках постоянно.

Кстати, подход не очень оптимальный Меня, к примеру, браузер авторизует по куке. То есть, куки однозначно работают. А - следовательно - дополнять ничего не надо. Это то, о чем я говорю, когда не рекомендую стартовать сессию всем подряд. Тоже, блин, спорщики находятся, "нам это не мешает!".

Ну как это не будет материала? Ну вот - я только что дал ссылку. В ссылке идентификатор. Если бы я не поменял идентификатор, то любой заходи с идентификатором моей сессии.  

Яндекс её уже проиндексировал. И мог бы походить по ссылкам с моей авторизацией. Если бы не было защиты от двойного использования сессии, а она здесь, наверняка стоит. Самый простой вариант - по IP.

Добавлено через 3 минуты и 36 секунд
Сессии представляют собой неразрешимую дилемму. С одной стороны ,передача идентификатора в урле была придумана, чтобы сессия работала всегда, даже когдна не работают куки. С другой - даже в пхпюини написано, что не рекомендуется передавать через урл, в целях безопасности.
И выбирать надо самому. Так что, привыкай,

что во многих вопросах просто не существует однозначного и простого решения =)