Привет форумчане!
Когда решил написать с нуля интернет магазин, а не мучаться с престашопами, опенкартами, джумлами и их модулями, пренебрег защитой сайта в следствии чего было два раза взломан.

Читал, что если голые инпуты, то можно просто и легко взломать просто написав код прямо в строку. Везде пишут, что нужно использовать различные функции типо trim()

Скажите, а работает защита если использовать только атрибут html pattern="регулярное выражение", который задает формат ввода и не пускает различные скобки, вопросы, доллары и так далее?

С уважением, Павел

zapatronen, нет. Нужно обязательно фильтровать входящие данные на стороне сервера.

Нет, разумеется.

Есть всего одна ошибка: не думать при написании кода.

Всего-то ничего и нужно для большинства приложений:
- никогда не конкатенировать данные с текстом запроса
- никогда не выводить в html данные как есть, без htmlspecialchars. Если только вам - действительно не надо выводить кусок HTML.
- не использовать GET-запросы для изменения состояния системы
- использовать CSRF токен для всех запросов, изменяющих состояние системы

Понял ребята, спасибо приступаю к работе!