Я не знаю, что вы подразумеваете под «правильным кодом».
Но прежде чем принять код/сайт, вам следует полностью протестировать его работоспособность.
Попросите их загрузить его где-нибудь на своем домене/сервере и дайте вам ссылку для доступа.
Вероятно, они не загрузят его в ваш домен до тех пор, пока не будет произведена оплата, но у них не должно возникнуть проблем с загрузкой его где-нибудь на своем собственном сервере.
Здесь вы можете проверить все запрошенные вами функции и убедиться, что все работает так, как вы хотите.
Создайте несколько фиктивных учетных записей, действуйте так, как будто вы являетесь клиентом услуг, предлагаемых сайтом, загружайте видео (если это функция и т. д.), проверяйте разные браузеры, несколько учетных записей и т. д. и т. п.
Также проверьте, установлена ли правильная проверка «формы» или нет.
Например, если поле «Введите номер телефона» принимает только цифры или что угодно.
Поля электронной почты принимают действительные электронные письма или что-то еще...
Если «обязательные» поля формы генерируют сообщение об ошибке, если они оставлены пустыми, или форма все равно отправляется
Если данные формы хранятся в базе данных, обязательно добавляйте такие символы, как одинарные и двойные кавычки, при заполнении формы во время тестирования.
Если генерируется ошибка «mysql», попросите своего программиста исправить ее.
Позже это может оказаться серьезной ошибкой безопасности...
Вам также необходимо будет проверить, как обрабатываются пароли, файлы cookie и сеансы, но это, вероятно, будет невозможно, пока вы не получите доступ к необработанному коду.
По сути, пароли не должны храниться открыто в базах данных. Должно быть зашифровано
Файлы cookie не должны хранить личную информацию и пароли.
Данные, поступающие из файлов cookie, следует перепроверять, а не воспринимать как нечто само собой разумеющееся.
Аналогичные правила применяются к данным сеанса.
Если файл/загрузка доступны только платным участникам, то кликабельная ссылка должна либо:
либо истекает через определенное время, либо
каталог, в котором хранится файл, должен быть защищен паролем с помощью htaccess.
Загрузка должна проходить через PHP-скрипт, в котором учетные данные участника перепроверяются.
В противном случае кто-то может просто посмотреть исходный код и поделиться ссылкой, где захочет...
Вам также необходимо убедиться, что запросы следуют правильным ИНДЕКСАМ, иначе сайт перестанет работать в режиме интенсивного трафика или когда таблицы станут большими.
Но опять же, это будет невозможно, пока вы не получите доступ к исходному коду...
заботиться