关系到钱的问题，一般人不懂的黑，牛B点的不屑于黑，实在有人干了这种事情记得用法律来解决。

防止被黑注意做好日志，别被人弄了还找不到是谁弄的。

简单点的问题可以找一个安全测试工具测试一下一些简单的问题还是可以避免掉的，测试工具比如AppScan

楼上也说了，用https协议传输可以避免数据被劫持后篡改。

1、sql注入，很多初学者会认为这个是安全的:
sql="select * from members where id='".$id."'";
因为这个代码，我就被人注入过，注入了webshell，还被人盗钱了。
2、不要跟第三方代码放一个服务器上，比如你要用论坛，discuz，绝对不要放一起，搞个单独的服务器，并且这个服务器对数据库的访问权限要控制，就是说这个服务器被黑了也不能操作核心数据库（支付系统)
3、如果可以，代码里面不要出现数据库密码。我目前是在启动nginx的时候提供密码，启动完成就删除密码。那么源码泄露（比如被安装了webshell）也不会泄露数据库密码。但是不泄露数据库密码就不等于不能操作数据库。如果被注入了webshell，他可以调用你写好的程序，比如一般对数据库操作你会封装一下。你正常的业务代码能调用，被注入的代码也能调用。那么如何防止被恶意调用呢？可以加密码验证。要有个前提，所有操作数据库的源码都要加密，如果是php，用类似zendguard加密，然后在每个php头部，设置密码，如dbtoken=md5($_PHPSELF."xxxkkk");然后在db的封装里面验证这个密码是否正确，不对就终止执行。这样被注入webshell之后，他要么在你原来的文件上修改，但是你加密过了，他就没法修改。要么就是另外生成文件，另外的文件phpself不一样，密码也不一样，你就可以判断这个是攻击代码了。
4、经常检查总金额，做个检查程序，看看总金额是否0.总金额就是所有收入-支出-用户存款。这个应该永远是0.如果数据库被黑了，用户修改了他的存款，那么总金额就会是负数。就可以知道被黑了。

预防csrf攻击
协议用https

可以外包出去，乌云网之类的有专业的人

支付系统一般都是直接使用第三方的 alipay unionpay qq-wx pay ....一般不会被黑把，资金都是从第三方账户直接到企业账户，网站最多也就是维护一个account关系和支付数额而已？？

使用第三方支付sdk或者类似stripe的整合方案：https://pingxx.com/

自己做支付功能代价搞到小公司无法承担，你要拿到银联和信用卡的认证。。。使用三方sdk来完成支付功能，安全由它们替你保障吧。

现在有不少做安全测试的网站，可以去给自己的网站做一下安全测试，低端的黑客能利用的漏洞基本都能被发现

可以搜一下nginx+lua可以简单的做一个waf，或者借助第三方云平台吧，好多都有防护功能

个人觉得外包出去借助第三方平台

一般都是使用已有api或者外包出去吧