valla şahsen belirtilen dosya uzantılarına girmeye çalışanlar banlansın :)
sanane adamın admin yoludan veya
detay/haber ise detay.php=baslik shadabs

niye elle oraları kurcalamayı deniyorsunki :D

ben genel de inj ve xss için deneme bulunanları kısmen önlemek için

url tipime göre
id ve başlığı şifreleyip fonksiyona gönderiyorum ordan şifreyi çözüp veritabanında varmı diye
kontrol ettiriyorum eğer varsa zaten sayfa açılıyor
yoksa 404 e atıyorum direk
bu tarafından ban atmak istemiyorum çünkü sağlayıcı sorunlarından dolayı
sql de anlık bir okuma olmaz ise yok gibi görür adam normal url bazında bile girse
lamer denemesi diye ban atabilir :)
sunucuya güveniyorsam tabi onada ban atıyorum :)

detay.php ler düz çalışmadığı için haliyle hata verebilir
onlar içinde direk get yoksa diye veya boşşa gibi sorgular ile işlem yaptırıyorum
ama ordan %100 atıyorum siteden çünkü ana dizinde hiçbir detay yolum olmaz benim
biraz karışık çalışmayı seviyorum :)

site üzerindeki formlarda zaten recaptcha v3 kullanıyorum ona ekstra kendi yazdığım
token sınıfını kullanıyorum ne olur ne olmaz diye google amca bizden iyidir :)
tokenleride post ile atmıyorum oluşan token ona göre session a girer incele kısmından değiştirmeye çalışsa bile
token hatasını her türlü alır. aynı şekilde token ve token adıda
işlem sonrasında ve sayfa değiştiği anda bu sessionları boşaltıyorum.

sabit olan sayfalar atıyorum iletisim.php gibi sayfalara inj deneyenlere direk ban atıyorum
ne arıyorsun orda öyle şeylerle demi :)