Hace tiempo puse un sistema de seguridad en el que incluía algunas partes en vez de Mysql a PDO, también strip_tags(), aunque me parecía un poco inútil pasar a PDO cuando pida datos en una página normal como los datos de la imagen de perfil, etc.. Lo que incluye que en las imágenes me asegurase de que es una imagen para añadir una imagen a un posts que es una acción que tengo en la web. Tengo un sistema de encriptar contraseñas con crypt() y no falla, por ahí no van los tiros...

Los posts que publican los usuarios se publican en el incio (index.php) que es el mismo que aparece al entrar a la web, solo que en la web hay un if importante que separa si existe un usuario en $_SESSION['username'] pone un inicio diferente a cuando a iniciado sesión. Lo que ha hecho este usuario es que me ha quitado el index.php por otro que ha hecho supuestamente él, pienso que podría ser de algún lugar donde se pudan subir imágenes o algún archivo ya que las otras no me aseguro que sea un archivo .png o algún archivo de imagenes o que no lo sea (podría meter un archivo .php) pero de todas formas se metería en la carpeta de "perfiles" que tengo reservado para ellas, ¿puede que me haya cambiado el sitio que guarde los archivos por el principal y que haya sustituido el index.php por el que me ha puesto, ya que solo es esa página? No lo sé...

Quisiera que me dierais todo tipo de seguridad que me podáis dar aparte de la que ya tengo. Ya he dicho que todo no lo tengo en PDO, es más no solo cuando pido datos como he dicho antes sino cuando envío algún que otro dato no lo tengo en PDO, lo estoy pasando aún, pero que más etiquetas y actos debo hacer... Me tiene harto porque siempre es el mismo. Tengo su IP pero no lo voy a denunciar solo quiero arreglarlo, además esto me puede ayudar a aprender.

Muchas gracias a todos, espero que podáis colaborar con lo que sepáis...