من یک سایت دارم که می خوام از طریقش کارت شارژ و کارت اینترنت بفروشم. با پی اچ پی نوشتم.
چیکار کنم که اطلاعات کارت هام امنیت داشته باشه ؟
اصلا کسی می تونه دسترسی داشته باشه به پایگاه؟
Talahost.Com
February 16th, 2011, 01:13
در درجه ی اول باید امنیت رو با کد نویسی تامین کنید، هر درخواستی رو به mysql ارجا ندید، ... (بحث امنیت در برنامه نویسی تحت وب (مثلا php))
مهمتر از مورد بالایی استفاده از vps به جای هاست اشتراکی هست. به هیچ وجه از هاست اشتراکی استفاده نکنید.
teztop
February 16th, 2011, 01:33
یعنی امکان این هست که کسی بتونه به کد هام دسترسی داشته باشه؟؟
من یک تابع نوشتم که کد شارژ ها رو تغیر می ده یه سری اعداد بهش ضرب و تقسیم کم و زیاد می کنه.
بعد موقع فراخانی عکس همون تابع رو رو کد ها اعمال می کنه.
یعنی این کارم تاثیری نداره ؟؟
teztop
February 16th, 2011, 02:08
یعنی روی ریسلر هم ممکنه ؟ نمایندگی فروش هاست ؟
من یه نمایندگی فروش هاست دارم سایتم روی اونه
shervin114
February 16th, 2011, 07:10
دوست عزیز
کاری نداره آدرس بده ببینیم تا چقدر امنه :">
اکثر اسکریپتهایی که دیدم اطلاعات شارژ رو هش می کنند
البته به قول امیر اونها رو نمیشه به همین راحتی دکد کرد ولی غیر ممکن هم نیست .
Rezash
February 16th, 2011, 12:57
1. روي هاست اشتراكي اين كار اصلا توصيه نميشه
2. cms تون رو بايد امن بنويسيد ! سعي كنيد برنامه رو در مقابل حملاتي از قبيل sql injection مقاوم كنيد. و ...
3. كدهاي شارژ رو همونطور كه گفتيد هش كنيد.
4. از نگه داري تعداد زيادي كارت شارژ در سيستم به طور همزمان خود داري كنيد ! نيازتون رو حدس بزنيد و در روز به همون تعداد اضافه كنيد تا اگه خداي ناكرده لو رفت يك دفعه تعداد زيادي كارت رو از دست نديد !
5. در كل اين كار توصيه نميشه ، فروش هر كارت با در نظر گرفتن مشلات احتمالي اش و پشتيبانيش اونقدر سود نخواهد داشت.مگر اينكه پشتوانه قوي اي براي سايتتون داشته باشيد (مثلا سايتي با آمار بازديد بالا داشته باشيد كه از طريق اون بفروشيد و فروش بالايي داشته باشيد.).
mtchivarly
February 23rd, 2011, 16:19
سلام
مقاديرتو encrypt كن بعد داخل table ذخيره كن ، موقع ارايه ي خروجي ، به هيچ عنوان plain text خروجي نده با توابع gd متن رو تبديل به عكس كن.
به هيج عنوان تو POST و GET آدرس مقصد استفاده نكن.اسكريپت حدواصل استفاده كن مثلا با يك دستور switch .
تعداد آرگومانهايي كه به page هاي مختلف ميره رو افزايش بده.
كش رو تو تمام صفحاتت غير فعال كن.
واسه ريدايركت هات كاملا متمركز عمل كن ، يعني يك اسكريپ مسئليت كل اين كارهارو داشته باشه. بااين كار راحت مي توني تو لينوكس سطح دسترسي هارو محدود كني به group .در اين حالت فوق العاده امن ميشه.
Var هايي را كه استفاده مي كني بعد از استفاده NULL كن.
اسكريپتي طراحي كن كه دسترسي به mysql منوط به authenticate كنه.
حواست به sql injection باشه.
Visitors ip را ركورد كن، اسكريپتي طراحي كن كه http request ها رو با ip ها بررسي كنن.
از اسكريپ اظطراري هم غافل نشو ، در صورتي كه يك ip با توجه به log رفتار غير معمول نشون دادن در مراحل مختلف عكس العملهاي مختلف نشون بده ، از نمايش يك error ساده تا stop كردن mysql.
اگه خيلي امنيت برات مهمه( منظورم خيلي زياده) امضاي ديجيتالي بين اسكريپتات استفاده كن.