Как безопасно хранить цифровые товары интернет-магазина?

Question

[Николай Фомин]

Добрый вечер!

Имеется интернет-магазин игровых аккаунтов. Как безопаснее всего хранить данные от аккаунтов (логины, пароли, ответы на секретные вопросы) на сервере?

Answer 1

[Олег ak-o]

Использовать стойкие алгоритмы двунаправленного шифрования.
У себя использую AES_ENCRYPT(). На счет стойкости не уверен, т.к в этом не очень разбираюсь, но все важные данные, включая хеши паролей пролетают через эту функцию =) Украв БД придется расшифровать AES а уже потом упереться в хеш.
(В вашем случае будет получен доступ к продаваемым аккаунтам)
Можно до AES через свой велосипед пропустить.

Answer 2

[Евгений]

Общепринятая практика хранить пароли и секретные слова в захешированном виде ( например md5) с добавлением соли, в случае кражи бд, очень тяжело будет расшифровать их. Но учтите, что если Вы пропустите sql иньекцию, хеши паролей пароли администратора подменят и получат полный контроль над бд.
Настоятельное рекомендрую использовать фреймворки для серьезных приложений, в них зачастую уже реализованна методика защиты. От Вас требуется только соблюдать рекомендации документации по безопасности в данном фреймворке.
Из фреймворков я уважаю: yii2, symphony2, cakephp3.

Comments

[Danil Namaste]

cakephp3 супер!!!

[Sergej]

Данил Загорский: Чем же?

[Евгений]

Иван: разработчики сделали адскую работу, в относительно короткие строки переработали проект. Исправили все косяки, к которым были претензии у адептов других фреймворков и выпустили достаточно качественные компоненты, правда некоторые из них через чур усложнены. В общем большой шаг вперед по сравнению с cakephp2

[Олег ak-o]

мне кажется ваш вариант не подходит.Нельзя продать покупателю хэши паролей и сек. слов от купленного им аккаунта =)

[Евгений]

Олег ak-o: упс, кажется невнимательно прочитал вопрос :(

[Sergej]

Евгений: Быстро глянув изменения, понял что Symfony only. Ну максимум Laravel / yii2

[Евгений]

Иван: Никто Вше право выбирать инструментарий по собственному вкусу не нарушал, но не соглашусь по поводу only - на любом из перечисленных фреймворков можно делать качественные приложения, у каждого из них есть хорошее комьюнити и все они они отвечают новым веяниям в php. (за laravel не скажу, никогда не пробовал)

Answer 3

[xmoonlight]

Wrapper (на сервере с DB) между БД и Application-сервером и строго разные хосты.
Вы всегда сможете контролировать запросы и ключи обмена между базой и web-приложением. (а так же политику доступа к порту и т.д.)