1. 代码质量参差不齐

• 部分开源项目存在 SQL 注入、XSS、CSRF、权限绕过等历史漏洞。
• 第三方插件 / 模板可能带后门。

1. 更新不及时

• 开源项目维护者安全补丁发布慢。
• 用户不更新，导致漏洞长期暴露。

1. 配置不当

• 默认账号、弱密码、暴露管理后台。
• 数据库对外网开放、Redis 无密码。

1. 多商户场景风险更大

• 租户隔离不到位 → 数据泄露。
• 商户上传文件 → 恶意脚本风险。
• 共享资源 → 一个商户拖垮全平台。

1. 支付 / 订单链路安全风险

• 支付回调未验签 → 伪造订单。
• 库存扣减逻辑缺陷 → 超卖。

价格显示与结算不一致 → 资损。