Ähnliches könnte auch bei Wordpress, vBulletin, jCart oder simpleCart(js) passieren. Die Programmierer werden meist auch nur auf Sicherheitslücken aufmerksam, wenn sie ein Benutzer darauf hinweist.

Und ist das jetzt gut?

Ein Kunde kann auch nicht wissen, ob der Onlineshop, wo er was bestellt, dessen Daten gleich selber weiterverkauft.

Aha, und deshalb ist es in Ordnung sich nicht um die Sicherheit zu kümmern?

Dazu hab ich dann die eMail-Bestätigung mit allen Bestelldaten als Backup in der Mailbox.

Noch besser, dann kennt Google deine Kundendaten gleich auch noch.

Wenn du Sicherheit für deine Webanwendung möchtest, kann ein bisschen Paranoia nicht schaden. Auch sollte man nie aufhören die Sicherheit zu überprüfen und weiterzuentwickeln.