[英]Is it 'ok' to store credit card information in the session?
我觉得这是一个好地方,因为它是如此暂时的是吗? 我想当我说'ok'时,我的意思是既安全又道德,也适用于代码方面。 请指教。
如果您将信用卡数据存储在任何地方 ,应该完全加密! 在会话中存储可能是必要的,也许你有一个多部分表格来填写,但它应该尽快清除。
小心共享主机上的PHP会话。 同一主机上的其他用户可以通过创建一个简单的脚本来窃取会话,该脚本可以通过手动设置session_id然后调用session_start()来打开会话。 如果必须存储CC nums,请使用已加密的db存储会话并立即删除。 在用户最好的兴趣是在需要时重新询问号码,精明的网络用户会感谢你。
请记住,会话状态可能存储在数据库中(具体取决于配置)。 即使它本质上是暂时的,我也会努力在最短的时间内处理价值,并可能试图远离会话。
立即收听安全第109集! 与史蒂夫吉布森。
http://www.grc.com/securitynow.htm
在那一集中,史蒂夫详述了他如何构建自己的电子商务系统,以完全按照您描述的方式存储数据。 他没有在服务器端存储任何内容,而是收集数据,加密并将其签名为无法修改的二进制blob(否则签名在重新提交时将不匹配),并将其存储在隐藏中客户端上的表单字段。
绝对最好的答案?
不,不要这样做。
信用卡详细信息应该是结帐流程的最后一部分。
更好的是,将其存储在应用程序状态。 更好的访问。 您的控件也可以直接绑定。
即使在ssl上,在ViewState中存储信用卡和定价信息是否安全?
[英]Is it safe to store credit card and pricing information in ViewState even over ssl?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
