[英]Is it 'ok' to store credit card information in the session?
我覺得這是一個好地方,因為它是如此暫時的是嗎? 我想當我說'ok'時,我的意思是既安全又道德,也適用於代碼方面。 請指教。
如果您將信用卡數據存儲在任何地方 ,應該完全加密! 在會話中存儲可能是必要的,也許你有一個多部分表格來填寫,但它應該盡快清除。
小心共享主機上的PHP會話。 同一主機上的其他用戶可以通過創建一個簡單的腳本來竊取會話,該腳本可以通過手動設置session_id然后調用session_start()來打開會話。 如果必須存儲CC nums,請使用已加密的db存儲會話並立即刪除。 在用戶最好的興趣是在需要時重新詢問號碼,精明的網絡用戶會感謝你。
請記住,會話狀態可能存儲在數據庫中(具體取決於配置)。 即使它本質上是暫時的,我也會努力在最短的時間內處理價值,並可能試圖遠離會話。
立即收聽安全第109集! 與史蒂夫吉布森。
http://www.grc.com/securitynow.htm
在那一集中,史蒂夫詳述了他如何構建自己的電子商務系統,以完全按照您描述的方式存儲數據。 他沒有在服務器端存儲任何內容,而是收集數據,加密並將其簽名為無法修改的二進制blob(否則簽名在重新提交時將不匹配),並將其存儲在隱藏中客戶端上的表單字段。
絕對最好的答案?
不,不要這樣做。
信用卡詳細信息應該是結帳流程的最后一部分。
更好的是,將其存儲在應用程序狀態。 更好的訪問。 您的控件也可以直接綁定。
即使在ssl上,在ViewState中存儲信用卡和定價信息是否安全?
[英]Is it safe to store credit card and pricing information in ViewState even over ssl?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
