Вопрос. Безопасно-ли хранить данные для доступа к платёжным системам в файлах конфиг?
Конкретный случай: На сайте есть функция автоматических выплат. Для её работы требуется в коде прописывать секретный ключ. Безопасно ли его хранить в файле $config.php (как пример) и вызывать через global или же лучше использовать дополнительный запрос к базе данных?
Открыть
Ответить
Хранение платёжных данных в файлах
Предположу, что все таки безопасно. Сам, когда онлайн платежи подключал, именно в файлах хранил данные для обработки платежей. Просто, если предположить, что плохие парни завладели доступом к твоим файлам, то для них и в базу попасть не составит труда, потому что у них есть все файлы твоего сайта, в том числе и config.php с данными для доступа к базе.
Плюс, две платежных системы, которые мне довелось подключать, в своих мануалах писали именно о хранении данных в файлах.
Или вы не про это? Не про, не дай бог, попадания файлов в руки хулиганов?
olevpa, как уже сказал otherside, за что ему большое спасибо, так же безопасно как и в случае хранения в базе данных MySQL. Но опять же, если вы не вносили изменений в стандартную конфигурацию системы и установили рекомендуемые настройки прав доступа к файлам.
В системе по умолчанию предусмотрено несколько уровней защиты файлов.
Уровень первый
Защита директории хранения файлов конфигураций, при помощи файла .htaccess, имеющего следующее содержание: deny from all
deny from all - Запрещает доступ из вне ко всем файлам и каталогам в текущей директории.
Уровень второй
Установка строгих прав доступа к файлам конфигураций CHMOD 644.
CHMOD 644 - Владелец, имеется в виду создатель файла, может читать и изменять, исполнять ему их запрещено, всем другим, группам и остальным, запрещено их изменять и исполнять, остальные могут только читать.
Уровень третий
Защита самого конфигурационного файла от чтения его содержание из вне, на примере нашей CMS, файлы которые должны быть защищены, в самом верху имеют следующий код защиты.
if (!defined("FUNC_FILE")) die("Illegal File Access");Коротко указал основные нюансы которые следует учитывать, для повышения уровня безопасности файлов сайта.
P.S.: Есть ещё шифрование содержания одним из актуальных алгоритмов предлагаемых в стандартной поставке PHP, но это уже другая история. Будет немного сложнее, потребуется написание функций шифровки и расшифровки данных и т.д.
О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...
SLAED CMS
- Группа: Клиент
- Пункты: 38082
- Регистрация: 30.04.2005
- Пол: Мужчина
- Из: Germany
3.24
3.24
- Администратор
Открыть
Ответить
