Открыть Ответить

Хранение платёжных данных в файлах

5.00

5.00

1
22.04.2019 22:11:00 27.04.2019 20:33:28

Вопрос. Безопасно-ли хранить данные для доступа к платёжным системам в файлах конфиг?

Конкретный случай: На сайте есть функция автоматических выплат. Для её работы требуется в коде прописывать секретный ключ. Безопасно ли его хранить в файле $config.php (как пример) и вызывать через global или же лучше использовать дополнительный запрос к базе данных?

Группа
Клиент
Пункты
32395
Регистрация
06.05.2011
Пол
Мужчина
Предупреждения
Нет
olevpa
olevpa
4.02

4.02

23.04.2019 12:34:37

Предположу, что все таки безопасно. Сам, когда онлайн платежи подключал, именно в файлах хранил данные для обработки платежей. Просто, если предположить, что плохие парни завладели доступом к твоим файлам, то для них и в базу попасть не составит труда, потому что у них есть все файлы твоего сайта, в том числе и config.php с данными для доступа к базе.

Плюс, две платежных системы, которые мне довелось подключать, в своих мануалах писали именно о хранении данных в файлах.

Или вы не про это? Не про, не дай бог, попадания файлов в руки хулиганов?

Группа
Активисты
Пункты
10766
Регистрация
28.10.2005
Пол
Мужчина
Из
Москва
Предупреждения
Нет
otherside
otherside
3.97

3.97

27.04.2019 20:20:43 27.04.2019 20:32:21

olevpa, как уже сказал otherside, за что ему большое спасибо, так же безопасно как и в случае хранения в базе данных MySQL. Но опять же, если вы не вносили изменений в стандартную конфигурацию системы и установили рекомендуемые настройки прав доступа к файлам.

В системе по умолчанию предусмотрено несколько уровней защиты файлов.

Уровень первый

Защита директории хранения файлов конфигураций, при помощи файла .htaccess, имеющего следующее содержание: deny from all

deny from all - Запрещает доступ из вне ко всем файлам и каталогам в текущей директории.

Уровень второй

Установка строгих прав доступа к файлам конфигураций CHMOD 644.

CHMOD 644 - Владелец, имеется в виду создатель файла, может читать и изменять, исполнять ему их запрещено, всем другим, группам и остальным, запрещено их изменять и исполнять, остальные могут только читать.

Уровень третий


Защита самого конфигурационного файла от чтения его содержание из вне, на примере нашей CMS, файлы которые должны быть защищены, в самом верху имеют следующий код защиты.

if (!defined("FUNC_FILE")) die("Illegal File Access");


Коротко указал основные нюансы которые следует учитывать, для повышения уровня безопасности файлов сайта.

P.S.: Есть ещё шифрование содержания одним из актуальных алгоритмов предлагаемых в стандартной поставке PHP, но это уже другая история. Будет немного сложнее, потребуется написание функций шифровки и расшифровки данных и т.д.


О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...
Группа
Клиент
Пункты
39466
Регистрация
30.04.2005
Пол
Мужчина
Из
Germany
Предупреждения
Нет
SLAED CMS
SLAED CMS
3.24

3.24

28.04.2019 17:09:55

Благодарю за ответы.
Вобщем, если я не создам дыр в новых модулях, то данные можно хранить в файлах настройки и спать спокойно.

Группа
Клиент
Пункты
32395
Регистрация
06.05.2011
Пол
Мужчина
Предупреждения
Нет
olevpa
olevpa
4.02

4.02

Открыть Ответить
Хотите опробовать SLAED CMS в действии?
Идеи и предложения
Обратная связь
Подтверждение

Поделиться
QR-код