PHP 电商安全检测

sql ， xss 上传
平行权限 垂直权限
订单遍历等信息泄露
金额校验，运费是否能为负

建议去乌云知识库看看

@lufyluo sql 语句的 and 和 or 等关键字不能从前台传入 不要在用这种 老旧的过滤规则了。把系统数据库链接换 mysqli 或者 PDO 吧。 预处理彻底阻止注入的漏洞。 这种规则 你会发现 很多 敏感关键词的。
楼上好像没人说到图片木马方面的。

@letitbesqzr 请问有什么办法可以不拿自增 id 做订单 id ？

@ys0290 uuid

@shuimugan
@wapy
@ByZHkc3

感谢感谢，

@Felldeadbird 非常感谢

当你觉得你的网站安全没有问题了，可以来乌云众测看看。 http://ce.wooyun.org
@lufyluo

@niliu 你好！我们用 360 扫的，这个行吗？

@lufyluo 我只能说一个扫描器能发现的问题太有限了，更何况 xxx 你懂得。看你们对安全还是挺重视，如果想全面的检查一下网站业务安全问题，我还是强烈建议去乌云众测，我大概描述一下吧：参与众测项目的都是乌云平台的顶尖白帽子，大概 20-30 人不等，全部手工测试，不用担心扫描器影响业务而且漏洞质量很高，数量很多。而且乌云的白帽子非常有节操。。 PS:这并不是广告，这是一个乌云白帽子的心声！ 对了，你还可以去了解一下唐朝安全巡检 www.tangscan.com ，由乌云社区众多安全研究人员维护的企业在线安全平台。

@or2me 娃娃你好伟大！

@niliu nice

@niliu 绿帽子？

有很多类似的工具，扫扫更健康

电商最重要就是
事务 事务 事务
重要的事情说三遍