|
А вот операции зачем хранить не понял.
|
В том смысле, что деньги на клиенте только для отображения - сколько их. А сама операция покупки, проверка хватает ли денег и т.п. - на сервере.
|
клиент при подключении к базе может перехватить запрос sql
|
Это как? Запрос делает php скрипт на сервере. Как клиент может его перехватить. Другое дело, что есть такая штука - инжекция в sql запрос. С ней можно "натворить в этой базе всё что угодно". Чтобы избежать,- нужно это предусматривать. Как - лучше спросить тут на форуме php. Там специалисты подскажут.