通过多步骤表单传递信用卡号的最安全方法？

Question

在第 3 步中，我有一个接受信用卡的表格，第 4 步重新打印信息，包括信用卡的最后 4 位数字，第 5 步我需要知道完整的 CC # 来处理它并通过我的 https 发送它与第 3 方供应商的连接 - 我应该通过隐藏输入或 $_SESSION 存储它，以便我可以在第 3 步和第 5 步之间访问它？

仅供参考：我的整个网站已经是 https 了。

Answer 1

将信用卡号作为最后一步，这样您就不必存储它。存储该信息存在许多法律问题。

Answer 2

SSL 不会保护存储在磁盘上的数据。此外，PHP 会话数据默认存储在文件系统中具有最小权限的临时目录下。因此，数据不仅以纯文本形式存储，而且可以被许多不同的系统用户访问（取决于您的 Web 服务器配置）。

如果您想实现多步骤结帐流程，我建议您在浏览器端执行一些 AJAX/Javascript 魔法。您可以使用一系列隐藏/折叠的 DIV 来收集账单信息，并一次性发布完整的数据集，将 CC 数据一次性发送到您的服务器，然后服务器将 CC 数据中继到您的支付处理器。

Answer 3

绝对不在隐藏表单字段中。如果用户离开或保存页面或有人点击后退按钮，则完整的抄送信息可用。计算机可能与其他人共享。

如果您确实将 CC 保存到磁盘/数据库，则必须对 CC 进行加密，否则您将违反支付卡行业 (PCI) 的要求。为了方便起见，您可以单独保留最后 4 位数字。

请注意，如果您使用会话（出于其他原因），您必须注意对会话的攻击，包括但不限于会话固定。

另一种可能性是重新设计您的客户端，以便各个步骤只是 ajax 调用（抄送在 js 变量中而不是表单字段中）并使用 CSS 来显示/隐藏各种 div - 在最后一步将整个信息发布到您的服务器。

Answer 4

根本不要存储它。那里有很多信用卡处理设施。除非您绝对必须在内部拥有此功能，否则不要这样做。

• 亚马逊支付服务：http://aws.amazon.com/fps/
• BrainTree 支付解决方案：< a href="http://www.braintree paymentsolutions.com/" rel="nofollow noreferrer">http://www.braintree paymentsolutions.com/
• Chargify：http://chargify.com/
• 贝宝：https:// Merchant.paypal.com/
• Authorize.Net 经销商：http://www.paypal.com/ authorize.net/solutions/merchantsolutions/resellerdirectory/

说真的，你可以选择。

Answer 5

都不是。您应该（以某种方式）将其加密存储在服务器上。