پاسخ : هشدار: امنیت ماژول های درگاه پرداخت
حقیقتش به علت کمبود وقت بیشتر از یک هشدار کاری نمی تونم برای دوستان انجام بدم. چون هر سیستم و هر بانکی روش کار خاص خودش رو داره و بصورت کلی نمیشه راه حل ارایه کرد.نوشته اصلی توسط MostafaBestMan
من برای سیستم HostBill و درگاه بانک سامان (که به نظرم از همه درگاه های بانکی از لحاظ عملکرد و نیز سیستم فنی و وب سرویس، بهتر و راحت تر هستش) حدود 1000 خط کد نویسی کردم (کلاس دیتابیس و ... رو حساب نکردم، فقط کلاس و فایل های اصلی ماژول) تا خیالم از همه نظر راحت شد... البته بخشی از این موارد بدون کمک بانک و ارایه دادن یک Documentation کامل شاید غیر ممکن می نمود... برخی از بانک ها هستند که DOC خیلی ناقص و پر رمز و رازی رو ارایه کرده اند (همچون پارسیان) و کد نویسی برای چنین بانک های بسیار رنج آور هستش و در برخی موارد انعطاف لازم را نیز از کاربر سلب می کنند.
به هر صورت بهتره امیدوار باشید که دیگر برنامه نویسان این انجمن و نیز ارایه دهنگان ماژول ها یک بازنگری داشته باشند و سعی کنند همه موارد را پوشش دهند. به عنوان یک راهنمایی خدمت این دسته عرض کنم که هکر را در مراحل مختلف فرض کرده و فکر کنید پله پله دسترسی بیشتری پیدا کرده و شما باید در آن سطح ایشان را متوقف کنید. مهمترین نکته نیز در مورد عدم پرینت اطلاعات پرداخت در خروجی HTML هستش... بهتره به جای این کار از یک Database Session استفاده کنید. و نیز Verify و Validate کردن تمامی داده ها... موارد دیگری هم هستند که با کمی دقت و صرف وقت پیدا خواهید کرد. موارد تابلو مثل Escape کردن داده های ورودی به دیتابیس جهت جلوگیری از SQL Injection و ... را نیز که حتما فراموش نخواهید کرد. در کل موارد خیلی پیچیده ای نیستند و فقط نیازمند دقت برنامه نویس در مورد مسائل امنیتی می باشند.
موفق باشید
پاسخ با نقل قول