Чтение RSS каналов

Форум

Открыть Ответить

Хранение платёжных данных в файлах

5

5
1
22.04.2019 22:11:0027.04.2019 20:33:28
Вопрос. Безопасно-ли хранить данные для доступа к платёжным системам в файлах конфиг?

Конкретный случай: На сайте есть функция автоматических выплат. Для её работы требуется в коде прописывать секретный ключ. Безопасно ли его хранить в файле $config.php (как пример) и вызывать через global или же лучше использовать дополнительный запрос к базе данных?
4.25

4.25
2
23.04.2019 12:34:37
Предположу, что все таки безопасно. Сам, когда онлайн платежи подключал, именно в файлах хранил данные для обработки платежей. Просто, если предположить, что плохие парни завладели доступом к твоим файлам, то для них и в базу попасть не составит труда, потому что у них есть все файлы твоего сайта, в том числе и config.php с данными для доступа к базе.

Плюс, две платежных системы, которые мне довелось подключать, в своих мануалах писали именно о хранении данных в файлах.

Или вы не про это? Не про, не дай бог, попадания файлов в руки хулиганов?
4.01

4.01
3
27.04.2019 20:20:4327.04.2019 20:32:21
olevpa, как уже сказал otherside, за что ему большое спасибо, так же безопасно как и в случае хранения в базе данных MySQL. Но опять же, если вы не вносили изменений в стандартную конфигурацию системы и установили рекомендуемые настройки прав доступа к файлам.

В системе по умолчанию предусмотрено несколько уровней защиты файлов.

Уровень первый

Защита директории хранения файлов конфигураций, при помощи файла .htaccess, имеющего следующее содержание: deny from all

deny from all - Запрещает доступ из вне ко всем файлам и каталогам в текущей директории.

Уровень второй

Установка строгих прав доступа к файлам конфигураций CHMOD 644.

CHMOD 644 - Владелец, имеется в виду создатель файла, может читать и изменять, исполнять ему их запрещено, всем другим, группам и остальным, запрещено их изменять и исполнять, остальные могут только читать.

Уровень третий


Защита самого конфигурационного файла от чтения его содержание из вне, на примере нашей CMS, файлы которые должны быть защищены, в самом верху имеют следующий код защиты.

if (!defined("FUNC_FILE")) die("Illegal File Access");


Коротко указал основные нюансы которые следует учитывать, для повышения уровня безопасности файлов сайта.

P.S.: Есть ещё шифрование содержания одним из актуальных алгоритмов предлагаемых в стандартной поставке PHP, но это уже другая история. Будет немного сложнее, потребуется написание функций шифровки и расшифровки данных и т.д.

О сколько нам открытий чудных,
Готовит просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг...
3.24

3.24
4
28.04.2019 17:09:55
Благодарю за ответы.
Вобщем, если я не создам дыр в новых модулях, то данные можно хранить в файлах настройки и спать спокойно.
4.25

4.25
Открыть Ответить
Хотите опробовать SLAED CMS в действии?

Технологии

PHP MySQL HTML 5 CSS 3 jQuery jQuery UI

Контакты

  • D-49179, Deutschland
    Ostercappeln, Im Siek 6
  • +49 176 61966679

  • https://slaed.net
Идеи и предложения
Обратная связь