PHP 防止会话固定/劫持

Question

我正在维护一个在数据库中存储信用卡号的低流量商店网站。这是不对的（甚至我认为是合法的），所以我正在改变数字的存储方式。

网站的结构方式，信用卡信息页面发布到自己，验证数据，将数据存储在数据库中，然后将用户重定向到cc验证页面，在该页面验证cc并下订单。之后，它们再次被重定向到订单完成页面。无论如何，要从 cc 信息页面获取 cc 号码到验证页面，我正在考虑使用会话，但我担心漏洞并试图调查它们（我正在阅读 this ref. 和 this one )。我可以在会话中存储 cc 号码，在下一页检索它，使用它，然后 unset() 它，它在几秒钟内就消失了（还要注意，这些页面使用 SSL）。比如：

抄送信息页面：

session_start();
$_SESSION['card_number'] = $_POST['cardnumber']; //please tell me if there are vulnerabilities here setting directly from $_POST
...
header(sprintf("Location: %s", $insertGoTo));

cc验证页面：

session_start();
//retrieve $_SESSION['card_number']
unset($_SESSION['card_number']);

只有 card# 被存储在 session 中，其余的 cc 信息在数据库中。虽然我不认为有人可以仅使用 cc# 做很多事情，但仍应尽可能确保它的安全。

鉴于我使用 session.use_trans_sid = 0 和 session.use_only_cookies = 1（会话标识符仅通过 cookie 而不是 URL 处理（不知道为什么我需要两者）），并且考虑到我使用这个特定的会话变量，这段代码是否容易受到会话固定？在这种情况下，我将 cc# 设置为 session 重新生成会话 ID（之后还是之前？）是否有益？我猜是的，并且由于此时协议是 SSL，我还猜测一旦重新生成 session，我就受到 SSL 的保护？

所以，我的主要问题是，按照我的网站的这些指南，熟练的攻击者是否会相当困难地修复/劫持会话来获取用户的 cc# 存在的时间量（大约 3-15 秒） ?如果没有，如果可能的话，我怎样才能做到这一点？

Answer 1

即使会话被劫持，如果您的脚本允许用户查看 CC 编号，或者您的站点上存在会话转储，此人也只能获取 CC 编号。

另外请记住，将抄送号码以明文形式存储在数据库中可能是非法的。如果您担心数据被盗，请务必对所有敏感数据进行编码或加密。

祝你好运！

Answer 2

您根本不应该存储卡号。默认情况下，PHP 将会话存储在您机器上的文件中。如果您的机器遭到入侵，有人可能会从会话文件中窃取信用卡号。

您应该做的是获取所有信息并将其直接传递给像 Authorize.Net 这样的信用卡处理器，或者使用允许用户在该服务托管的域上付款的服务，然后将它们返回给您一个授权码，这样你就知道他们付费了（PayPal 有这样的服务，我知道他们不是最好的，但还有其他的）

要获取信息，您至少需要具备一定程度的 PCI 合规性。存储卡信息完全需要更高的级别。

关于 PCI 的内容有很多。这是上面的维基：http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard