我阅读了所有关于 HTTP over SSL 的帖子。到目前为止,我知道如何安全地获取 Web 表单中的数据。但是我错过了恢复的部分并以相同的方式保存数据。 我的网站需要一个表格来收集客户的敏感数据(也可能是用于预订的信用卡号码,但不需要信用卡授权过程),然后以安全的方式保存和读取该数据。
然后,对于一个基本的安全 Web 应用程序,我需要:
a) 具有 SSL 域验证 (DV) 证书的网站(我没有固定的 IP 地址。我使用基本的共享或“虚拟”托管服务)。
b) 开发一个简单的 PHP 和 MySQL 应用程序来收集客户的敏感数据,将所有应用程序 PHP 文件放在 SSL 安全文件夹中。
c) 所有收集到的数据将存储在服务器 MySQL 数据库中。
这是我消息的问题部分:
1) 如果我稍后使用 phpmyadmin 通过常规主机服务 (HTTP) 查看数据库,这不是不安全吗?
2) 托管管理员呢?如果我在数据库中使用纯文本,他们也可以读取所有敏感数据。但是服务器上数据的加密方法(不仅仅是通过 SSL 传输)就足够了吗?加密编码/解码方法不是可以被托管管理员拦截吗? (考虑一下:该方法位于同一服务器中的应用程序内部)。 我无法支付自己服务器的便利性和安全性。
3) 考虑这些事情,并假设它们是真的......如果我进行数据库加密真的很重要吗?
可能是我遗漏了什么或者我误解了一些问题。
非常感谢您的帮助和耐心。
最佳答案
这些共享托管计划并不能真正胜任收集信用卡号码的工作——您是在使用支付网关下注,而不是自己存储它们。
请参阅相关规定:PCI
关于php - HTTPS 和加密数据库在共享主机中真的安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1357553/