使用 PHP 获取和存储信用卡信息的最佳实践

Question

我是否应该在前几个步骤（验证、审查购买）中使用会话，然后在最终提交中将信息输入到数据库中？

饼干会被劫持并演变为诉讼吗？是不是风险太大了？

如果存储信用卡号，我是否需要以任何特殊方式保护我的数据库？

欢迎任何建议和个人经历。

Answer 1

信用卡问题对存储信用卡数据有严格的要求（谷歌“PCI 合规性”）。

至少有一个支付网关允许您外包合规性工作：http://www.braintree paymentsolutions.com/

上次我查看时，您可以运行初始交易并取回令牌。该令牌可用于在未来对卡进行收费，但只能由您使用。支付网关人员负责存储实际的信用卡数据。

据我所知（而且我不会进行大量的卡处理），如果您需要对同一张卡进行任意收费，这可能是最好的解决方案。

如果您需要的只是一些经常性费用（定期收取一定金额），则大多数支付网关（我想到的是authorize.net）都可以为此进行配置。

归根结底，如果您的预算不是特别大，那么您最好外包卡#存储。自己做的话责任太大了。

（编辑：至于在会话中存储内容 - 是的，您可能可以摆脱这一点，但您可能应该避免它。只需在提交 CC 信息时进行初始身份验证/捕获即可。）