PHP 电商安全检测

自己先来顶一下

搜索： SQL 注入

常规的 SQL 注入，任意上传， XSS 等等就不说了
电商比较容易出现的是平行越权，就是订单遍历，用户资料遍历之类的

1 、 armitage
2 、 kali linux &&metasploit

sql 、 xss 、 csrf 等这些常规漏洞 ls 都说了

还有电商平台需要注意的是，订单和用户增量的保密，不要在前端和 url 里暴露用户和订单记录的自增 ID
如果有库存功能，注意库存访问会不会有数据一致性的问题

有一点想说的，千万别拿自增 id 当订单 id ... 别人一看就了解你网站到底有多少订单，分析下就知道你网站每天多少订单了。

各种流氓检测用一下

@bball 感谢， sql 注入我已经注意了，但是我不知道有没有高深手段能瞒过 我的处理机制，目前我处理是有个全局安全检测， sql 语句的 and 和 or 等关键字不能从前台传入，只能我后台拼接。还有其他可以绕过我这个处理机制的吗？

@or2me 3Q ，量大，我慢慢一个一个撸

@tabris17 3Q ， 已经记录在案

@letitbesqzr 嗯， 3Q ，这个我们已经规避

@lufyluo 对于你这种方法我只能表示“呵呵”

@lufyluo 你后台还在拼接的话肯定不行。

电商的话需要更加关注数据一致性、事务等。

@tabris17
@iyaozhen 小弟先感谢了，我这样是为了杜绝注入，能详细讲下我这样的弊端吗？

@lufyluo 有 mysql_real_escape_string 这样的东西为什么要自己过滤？

怎么不用 pdo

多去 wooyun 逛逛 搜 ecshop 之类看看有没有犯同样的错误。

@ljbha007 对对！感谢感谢，我嫩鸟 PHP

@xifangczy 3Q ，已去

逻辑上的:
负数金额购买
充值回调时并发,可能导致充一次钱,实际上给账户加了几次