Quando si progetta un'applicazione Web per un sito di commercio elettronico si deve, è normale, prestare la massima attenzione alla sicurezza del modulo di gestione dei pagamenti. Se esso viene gestito in proprio, si deve anche considerare i requisiti minimi di sicurezza richieste dalle società di emissione delle carte di credito.
Visa, la società che gestisce il circuito più diffuso di carte di credito, richiede che i gestori di carta di credito si attengano alle disposizione indicate nel Payment Card Industry Data Security Standard (PCI DSS, Pdf), anche per quanto riguarda le applicazioni online. La società ha da poco pubblicato un documento (Pdf) in cui vengono analizzati i principali problemi di sicurezza dei sistemi di gestione dei pagamenti, problemi che se ignorati condurrebbero alla violazione del Data Security Standard.
Anche per Visa il maggior problema di sicurezza delle applicazioni Web, per quanto riguarda la loro programmazione, è la SQL Injection. Ai primi due posti ci sono l'imprudente salvataggio dei dati sensibili della carta di credito e la mancanza di patch per i sistemi che ne conservano i dati. Al terzo posto l'uso delle password di default nei sistemi che ospitano i dati sensibili. Al quarto posto la SQL Injection: "un attacco di tipo SQL Injection può avere serie conseguenze e può portare alla paralisi delle applicazioni o dell'intero sito di commercio elettronico". Al quinto posto la mancata disabilitazione di servizi non necessari sui server che ospitano l'applicazione.