[Dajna]

Вот я написала интернет-магазин. Хочу чтобы вы оценили принцип построения, безопастность и т.д. Пожалуйста, скажите свое мнение.

Принцип таков:
Сайт написан на php. Подключается база данных MySQL. Клиент заказывает товар и кладет его в корзину. При этом во временную таблицу записываются реквизиты товара. Клиентов я распознаю по куки. Когда корзина клиента сформирована, он оформляет заказ, указывая свои реквизиты, а также ставит галочку, что он согласен с правилами доставки и что он проверил правильность заказанных товаров. Также клиент вводит число с картинки. Все эти данные заносятся в таблицу клиентов. После отправки заказа клиенту отправляется письмо с номером заказа, а менеджеру фирмы отправляется сформированный счет. Потом менеджер связывается с клиентом по телефону или е-mail и отправляет подписанный счет клиенту по факсу.
Также есть административная часть, в которой администратор может изменять каталоги, товары и т.п. Адм. часть защищена паролем.

[Nark]

По поводу безопаснгости - там есть куча ньюансов...
правда здесь все не очень критично - максимум, что можо потерять - это все таблицы... (это не финансовая отчетность и не документы с сов скеретно) Но какого-нибудь хакера может привлеч...

[Dajna]

Nark, а по поводу ньюансов можно поподробнее...

[Nark]

Цитата:

Dajna:
Nark, а по поводу ньюансов можно поподробнее...

Насколько я помню, с сессиями и безопасностью были вещи -про всякие unset и т.д. важных переменных. Вобще, я этим мало заморачивался... это нужно смотреть и код и саму страницу... Все зависит от того как это реализовано.
Включая банальное экранирование спец символов, для мускл запросов....

[egorix]

Хакера наврядли будет интересовать сайт, где нельзя ничего получить кроме того, что что-то сломать. Сейчас хакеры больше гонятся за деньгами. Но безопасность запускать не стоит.
Просто при отправлении данных через формы всегда проверяйте их соответствие с шаблоном (адрес сайта, e-mail и т.п.) с помощью регулярных выражений.
Используйте сессии, храните пароль в зашифрованном виде, например md5(md5()) если боителсь подбора (хотя длинный пароль никогда не подберут).
И самое главное - покупайте хостинг с ежедневным backup-ом ваших данных (файлов + MYSQL).

ЗЫ: Самый дельный совет - это последнее. Потому, что на любую технологию защиты найдётся технология взлома!

[andymc]

Цитата:

максимум, что можо потерять - это все таблицы...

всего навсего

[Nark]

Цитата:

egorix:
Хакера наврядли будет интересовать сайт, где нельзя ничего получить кроме того, что что-то сломать.

С год назад у меня ломанули phpbb (там критический баг был) никому не нужный с 10 постами внутри и поставили какую-то арабсую ахинею...

[andymc]

У меня так вообще в гостевой спасмят, а там вообще народу 1-2 чела в сутки

[egorix]

спамить в гостевой - это дело не хакеров, а ботов
И это делается с целью раскрутки.

Цитата:

С год назад у меня ломанули phpbb (там критический баг был) никому не нужный с 10 постами внутри и поставили какую-то арабсую ахинею...

Потому, что это бесплатный скрипт. К каждому скрипту свой подход, а к phpbb 100 раз уже нашли этот подход

[Nark]

Цитата:

egorix:
Потому, что это бесплатный скрипт. К каждому скрипту свой подход, а к phpbb 100 раз уже нашли этот подход

Windows - не бесплатный скрипт .

Просто не следил за обновлениями и всем прочим. Поставил и забыл на год. С любым другим скриптом это тоже не исключено и не важно платный он или не платный.

ЗЫ линух бесплатный и
"За последний год число вирусов под Линукс возпросло в два раза - с 2 до 4."
Как распространяются вирусы под линукс: "Ухты! Вирус по Линукс! Дай посмотреть!"