Webshop PHP?

most ezt komolyan kérded, hogy általánosságban milyen biztonsági rések lehetnek!?

Iszonyat mennyiségben előfordulhatnak...

Olyan piti hibáktól, mint már megszűnt/inaktív, de google által korábban indexelt termékre megrendelése, egész olyan szintig, hogy SQL injectiont hajthatnak végre pl. termék ID -ból...

Láttam már olyan webáruházat, ahol negatív rendelés nem került a rendelési listába mert nem volt nagyobb mint 0 a darabszám, de árát levonta.

Vagy olyant hogy kártyás fizetés előtt lehetett módosítani a termék végősszegét, és akár több termék megrendelése esetén észrevétlenül is ellehetett csenni némi összeget...

De a biztonsági hibákon felül még vagy több tucatnyi olyan fontos dolog van, ami nem elhanyagolható.

Pl. belföldi, nemzetközi EU -s, vagy azon kívüli szállítás esetén más-más szabályok vonatkoznak, pl. postázás, számlázás, árfeltüntetés, garanciáztatás...

Kicsit konkretizáld mire vagy kíváncsi, mert ez így elég tág fogalom.

injection ellen a legbiztosabb, ha mindig minden változó adatott SQL lekérésbe helyezéskor ellenőrzől.

pl. PHP-MYSQL -ben: [link]

Admin felület-nél pedig jól elkülönülő felület kell, aminek fájljai elején ellenőrzöd hogy be van -e lépve.

+ nem ért egy idő limites kontrol a login próbákhoz.

pl. 5 hibás login log után, arról az IP -ről 15 perc pihi.

A mysql_real_escape-el csak az a gond, hogy egyrészt nem támogatott és a következő verzióban nem lesz már. (Ahogy a többi mysql_-es cucc sem.)

Valamint ez sem jelent 100%-os védelmet. Vannak bizony olyan "extrémebb" esetek, amivel ezt is ki lehet játszani.

Jobb megoldás egyrészt a mysqli vagy PDO használata, másrészt ezekben ott vannak már a paraméterezett lekérdezések.

[link]