Sistema De Loja Em Php

[tiagopassos]

Olá,

estou planejando um sistema para a loja em que trabalho e pretendo construí-lo em PHP, com banco de dados PostgreeSQL,

mas estou preocupado com a segurança.

A loja por enquanto não tem nenhuma filial, mas está entre os planos. Portanto, pretendo projetar um sistema único, onde as filiais acessariam o sistema de vendas pela internet (como intranet).

Quem meios posso utilizar para garantir a segurança desse sistema, já que estando na internet, sem a proteção de uma rede apenas local, o negócio já fica mais difícil.

Gostaria de sugestões de formas de impedir que o sistema de vendas da loja fosse acessado por quem não deve acessar.

Aguardo sugestões :))

[ESerra]

O que você deve se preocupar é com SQL Injection e PHP Injection... isso sim causa problemas... como em muitos sites que basta o cara colocar em um dos campos de login OR 0 = 0 e pronto, o sistema aceita o login na boa...

[tiagopassos]

sei... entendi... dei uma lida num texto que encontrei no google e realmente vi que é um buraco muito grande. Vou tomar cuidado com a SQL Injection... valeu

Mass...

alguém teria sugestões de como implementar recursos de segurança?

Por exemplo:

- Só permitir o acesso ao sistema por IP's já autorizados. No caso de ser IP Fixo, só seria dizer: aceite apenas requisições desse IP. No caso de variável, a filial teria que informar à matriz pra poder utilizar o sistema...

- HTACESS...

- COOKIES...

coisas do tipo...

alguém tem sugestões?

[ESerra]

Guarda o IP em algum lugar (TXT, BD) e toda requisição consulta esse lugar, se estiver lá liberado, senão bloqueia...