存储个人信息的类别,公司银行账户信息,在PHP(Mcrypt) - 这可以吗?如何改进?
问题描述:
我已经被赋予了编写加密函数的任务,让我的老板可以轻松加密各种数据位以进入数据库。这将包括
信用卡详细信息
银行帐户信息。 我从来没有在PHP中使用过加密,所以我很担心。存储个人信息的类别,公司银行账户信息,在PHP(Mcrypt) - 这可以吗?如何改进?
这里就是我和O'Reilly的基本PHP安全的帮助迄今所做的: http://pastebin.com/7L2GxPNJ
的IV实际上并不似乎无所不能,这令我担忧。为什么?
如果有人能够通过此代码查看并检查出它,将非常感激。我曾经跟一位朋友说过,在另一台服务器上,PHP可以连接到另一台服务器上,作为守护进程会更好。但是,这不能完成还有 - 我只是遵循命令。
目前,有没有可以改进的地方?与IV有什么关系?
谢谢。
答
IV实际上并没有做任何事情,这与我有关。为什么?
初始化矢量是相当重要的 - 特别是在加密大量小数据的时候。如果加密数据没有被IV修改,那么Somethnig是不对的。如果您将加密密钥与加密数据存储在相同的文件系统中,那只是安全而已。
有点偏离主题,但如果你打算存储信用卡信息(顺便说一句,这很可能是一个非常非常糟糕的主意),你需要符合PCI标准。有关更多信息,请参见http://www.pcisecuritystandards.org。 – 2011-02-01 11:49:01
谢谢。这不是一个普通的电子商务应用程序或其他什么,我们正在为一家大公司开发,这家公司需要存储细节(尽管已经考虑与其他公司,贝宝等进行整合)。 – Tim 2011-02-01 12:14:48