我是一名非营利组织的志愿者,帮助处理网站内容。我是一名具有HTML知识的设计师,但我的编程经验几乎没有,所以如果这是elemetary,我很抱歉。
我创建了一个html表单,访问者可以使用该表单从信用卡中捐款。这直接发布给商家。
在表单中隐藏的身份验证我们的帐户需要两个项目。表单效果很好,发布付款没有问题但是有问题。我可以查看来源并获取对隐藏项目的访问权限,从而将我们的帐户信息转发给任何有足够好奇心的人。
我做了一些搜索,但我缺乏编程是一个问题。我知道我可以使用cURL发布项目,但我不知道如何在发布之前将我的html表单粘贴到隐藏的项目中。
答案 0 :(得分:1)
您需要为会话“密钥”设置一个隐藏字段,其余部分不存储在隐藏字段中,而是存储在HTML之外的某个位置(例如数据库),并使用服务器端代码将其与会话密钥相关联(在这种情况下为PHP)。否则,用户可以看到您发布的任何内容。
答案 1 :(得分:1)
您要做的是将敏感信息放在表单处理的服务器端,没有其他人可以看到它(例如,作为PHP脚本中的变量)。该页面上的任何人都可以轻松查看和编辑DOM。
如果您正在为此寻找解决方案,您可能希望在另一个问题中发布一些处理代码(当然是混淆数据)。 SO上的人们将能够帮助您找到保护数据安全的方法。
答案 2 :(得分:1)
如果支付系统需要这样的隐藏字段,那么必须必须才能从浏览器发送到他们的服务器。从服务器发送信息是没有意义的,因为在用户在银行的安全服务器中输入他的信用卡信息后,他们会用来识别谁必须收到捐款。
您的银行帐号是敏感信息。您的员工编号不是。