سوالی در مورد امنیت پرداخت درگاه

[hooman.pro]

سلام امروز با یکی از مشتریان صحبت میکردم میخواست براش فروشگاه اینترنتی راه اندازی کنیم، اما خیلی راجعبه امنیت تردید داشت و سوالاتی که پرسید منجر به شکل گرفتن یک سوال در ذهنم شد:

فرض کنیم یک جدول برای پراخت های موفق در دیتابیس داریم، حالا کاربر مخربی به نحوی به دیتابیس ما دسترسی پیدا کرد و یک رکورد در این جدول برای خرید خود ثبت کرد، ما هم فکر میکنیم که خرید با موفقیت انجام شده و محصول را برای او ارسال می کنیم. خوب این اصلا خوب نیست! راهکاری برای این مورد در نظر دارید؟

به نظر خودم رسید که اطلاعات پرداختی مشتری رو اگر بشه تو پنل مدیریتی دوباره با وب سرویس با بانک چک کرد میتونیم از این لحاظ هم مطمین بشیم که رکورد واقعا بعد از پرداخت انجام شده، آیا چنین امکانی هست توی وب سرویس بانک ها؟

[blazhel]

وقتی طرف به دیتا بیس دسترسی داشته باشه مسله شما دیگه بحث سفارش نیست و کل سایت در خطره
وقتی بحث امنیت مطرح نباید اجازه دستری به دیتا داده بشه وگرنه بحث بانک در مرحله دوم قرار میگیره

[ابوالفضل زیارت بان]

خوب یک راه حل منطقی وجود دارد این است که شما یک سرور log (فقط مجوز insert) داشته باشید و تمامی عملیاتی که کاربر انجام می دهد را log کنید. بعد زمانی که کاربر سفارشی داد طبق log هایی که وجود دارد با یک بررسی دقیق(آیا این سفارش در سیستم وجود دارد ؟ آیا خرید برای این سفارش انجام شده است ؟) به ادمین سیستم بگویید که این سفارش صحیح است یا خیر.

حالا یا روی همان سرور با دیتابیسی جدا و مجوز مربوطه

[hooman.pro]

اصل سوال اینه که آیا بانک ها وب سرویسی دارن که مثلا آی دی 84294382 که دیروز خرید موفق داشته و در دیتابیس من ثبت شده رو دوباره اطلاعاتش رو بهم بده که من چک کنم اطلاعات با هم هم خونی دارن یا نه؟؟

"اون قدر ها هم حالیم هست که اگر دیتا بیس در دسترس باشه امنیت نیست دارم برای روز مبادا و فرض محال میگم، من الان سایت بزنم 2 تومن نه 10 تومن بگیرم بعد چنین بلایی سر مشتری بیاد، 100 میلیون از من خسارت بخواد چی کار کنم!!؟ واسه اینه که دارم چنین سوالی میپرسم که اگر دیتابیس هم هک شد، باز خرید موفق نشون نده که سفارشی ارسال نشه"

[هادی2020]

خوب چرا نشه برای همه بانک ها چنین چیزی تعریف شده است . شما اطلاعات لازم رو به بانک ارسال می کنی و بهت می گه آیا با اطلاعات داده شده خریدی از سایت شما انجام شده است یا نه مثلا این فانکش برای بانک پارسیان رو نگاه بنداز

//  this function is to Validate Payment
       public static function check_Payment_Parsian ($auth) 
       {

           //   include("nusoap/nusoap.php");

           // set the URL or path to the WSDL document
           $wsdl = "https://www.pec24.com/pecpaymentgateway/eshopservice.asmx?wsdl";

           // instantiate the SOAP client object
           $soap = new soapclient($wsdl,"wsdl");

           // get the SOAP proxy object, which allows you to call the methods directly
           $proxy = $soap->getProxy();

           // set parameter parameters (PinPaymentEnquiry^)
           $parameters = array('pin'=>'bk1vdpRLPcnQrlC1F368','authority'=>$auth,'status'=>0);

           // get the result, a native PHP type, such as an array or string
           $result = $proxy->PinPaymentEnquiry($parameters);
           return $result;

       }