Сдавали давеча компьютерным безопасникам со стороны клиента мое уэб-приложение на предмет потестить на уязвимости.
Сегодня пришел результат - всё норм, переключайте на основную базу, переводите в работу.

Мне хочется верить, что просто не проверяли, потому что я, практически ничего не понимающий в тонкостях безопасности (писал с поверхностными знаниями: шифруй пароли, юзай https, обрывай сессию каждый 5 минут простоя и вот всё такое), знаю у этой приложухи минимум 2 дыры, которые слабо соответствуют требованиям (всё руки не доходили в погоне за функционалом, но одну заткнул где-то чуть позже момента как сдал на тест, вторую придется как-то разруливать вот где-то завтра-послезавтра).

А так хотелось комментариев от умных людей на тему чего поправить, чтобы иметь эти требования в подкорке на уровне базиса.