e-commerce e sessioni: quale sicurezza scegliere?

[dionisium]

Ciao a tutti,
ho realizzato un piccolo sistema di vendita on line basato solo sulle sessioni, il pagamento viene fatto solo tramite bonifico o alla consegna della merce ,così ho scelto di non utilizzare mySQL, ma non so se ho fatto bene.
Ho visto che sui sistemi avanzati di e-commerce si usa registrare l'id di sessione nel db, di solito con l'ora di entrata e l'ora di uscita. Qualcuno sa dirmi se questo sistema serve anche per aumentare la sicurezza generale del sistema? Inoltre secondo voi dovrei utilizzare l'id di sessione come variabile globale da una pagina all'altra del negozio?
In pratica, quali sono gli accorgimenti da utilizzare per rendere il più sicuro possibile questo sistema di e-commerce?

[Antoespressione]

Bè alla sicurezza di un sistema informatico non credo ci siano limiti.... cmq potrei suggerirti di non usare mai sessioni globali tranne se non usi funzioni abbastanza avanzate.... usale solo per passare informazioni da una pagina e ad un'altra.... poi per quanto riguarda le loro id di solito si memorizzano non solo quelle ma si cerca di usare degli snif per un pò sapere a chi stai vendendo la tua roba....ip, provider e se sei bravo con java arrivi al loro indirizzo senza che te lo scrivano...

[dionisium]

Uso la variabile globase $_SESSION per registrare i dati dell'ordine nel file di sessione. Credo che sia l'unico sistema per memorizzare i dati senza usare un db o sbaglio?
Per quanto riguarda la memorizzazione dell'id e lo snif scusa ma non so proprio a che ti riferisci, sono scarso in materia.
Comunque mi fai intendere che usare variabili globali è molto rischioso, ma non mi rendo conto nella pratica cosa può comportare.
Grazie per l'aiuto

[Antoespressione]

$_SESSION non credo sia una globale in php5 perchè appunto le globali sono precedute dal comando global $variabilechedichiariamoglobale; $_SESSION è un sistema di passaggio di variabile tramite sessione è il più sicuro tra l'altro... gli snif sono degli script java che ti permettono di conoscere tramite ricerche varie quale sia il browser, ip, provider, localizzazione, numero di hop e tanta altra roba che ti può teornare utile al fine di conoscere l'identità dell'ordinante....comunque continua ad usare $_SESSION che è ben "blindato" e se scrivi codice ben pulito non credo dovresti avere nessun problema....

[dionisium]

Grazie mille per il suggerimento!!!
Per quanto riguarda invece l'utilizzo dell'id di sessione, qualcuno sa darmi qualche dritta?