Как замаскировать номер кредитной карты с помощью регулярного выражения?

Question

[evgabd]

Имеется тело POST-запроса:

cc_number=4111111111111111&amount=1500


Для записи в лог требуется привести его к виду

cc_number=XXXXXXXXXXXXXXX&amount=1500


Это можно сделать следующим образом:

$data = preg_replace(
    '/(?<=cc_number=)([^&]+)/e',
    'str_repeat("X", strlen("$1"))',
    $data);

Но, поскольку использование модификатора eval является дурным тоном и в PHP 5.5 отмечено устаревшим, я переделал регулярное выражение с использованием preg_replace_callback:

$data = preg_replace_callback(
    '/(?<=cc_number=)([^&]+)/',
    function ($matches) { return str_repeat('X', strlen($matches[0])); },
    $data);

Однако хотелось бы получить идеальный вариант с использованием чистого regexp.

Что-то вроде

$data = preg_replace($pattern, 'X', $data);


Возможно ли это? Потребуется ли рекурсия?

Comments

[Hint]

А почему нельзя в качестве замены указать строку с 16 иксами?

[evgabd]

Карты бывают 14-16-значными, плюс этим же способом хотелось бы скрывать значение CVV (3-4 символа)

Answer 1

[1x1]

s/(?<=cc_number=)|\G\d/X/g

Насколько я помню, \G в PHP поддерживается.

Comments

[evgabd]

Вот оно! Всё-таки это возможно!
Огромное спасибо!

preg_replace('/(?<=cc_number=)|\G\d/', 'X', $data);

[evgabd]

Хотя в данном варианте добавляется лишний X

[evgabd]

Окончательный вариант, чтобы избежать появления лишнего X:

preg_replace('/(?<=cc_number=)\d|\G\d/', 'X', $data);

Можно в том же выражении замаскировать CVV:

preg_replace('/(?<=(?:cc_number|cvv)=)\d|\G\d/', 'X', $data);

[evgabd]

Последнее верно только для параметров одинаковой длины :(

[evgabd]

Решение для маскирования нескольких параметров:

preg_replace('/(?:(?<=cvv_number=)|(?<=cvv=))\d|\G\d/', 'X', $data);

Пример:

$pattern = '/(?:(?<=cvv_number=)|(?<=cvv=))\d|\G\d/';
$data = 'zip_code=90210&cvv_number=12341234123412341234&cvv=1234&amount=1500';
printf("%s\n", preg_replace($pattern, 'X', $data));
// выведет zip_code=90210&cvv_number=XXXXXXXXXXXXXXXXXXXX&cvv=XXXX&amount=1500

Answer 2

[FilimoniC]

Вы работаете в сертифицированной по PCI конторе?
Если нет, то вы не имеете права запрашивать CVV\CVC и номер карты. Хранить карту можно в формате «Первые шесть+последние четыре», это разрешено для передачи в открытом виде.

Раз уж так пошло, зачем вам вообще знать длину номера карты? Замените просто на «HIDDEN»

Comments

[evgabd]

Да, мы сертифицированы.

Насчет зачем знать длину номера — ни за чем, просто хочется иметь логи в таком формате :)
Скорее всего, вы правы, стоит заменить иксы на такие константы.

[FilimoniC]

Немного уточню:
Логи в ТАКОМ формате неудобны по причине отсутствия моноширинности

[evgabd]

Ну это, наверное, если они хранятся в файле. А если они хранятся в БД и вперемежку там лежат запросы JSON, XML, NPV, то, в принципе, без разницы. Во всяком случае, у меня не было повода пожалеть об отсутствии моноширинности.

[FilimoniC]

В любом случае вы потенциально раскрываете информацию такой записью — потенциальный вредитель знает что карта 12 знаков, цивик — 4 у данного конкретного тела. Не шибко поможет, но в свете редковстречающихся 12знаков и 4знаков, вполне может хватить для чего-то неприличного.

Опять же, если вы хотите идентифицировать как-то карту, возможно использовать f(cc_number+cvc) где f например baseconvert(md5(data),10,26)

Answer 3

[Vampiro]

Для записи в лог лучше делать примерно так:
cc_number=HIDDEN_CC_NUMBER&amount=1500&CVV=HIDDEN_CVV
А то через пару недель вы будите лепить регулярки для поисков по логам 3-4-12-14-16 последовательных «X»

Comments

[evgabd]

Пожалуй, да, HIDDEN лучше.
В большей степени здесь теоретический интерес, могут ли регулярные выражения помочь в такой ситуации.

Answer 4

[SleepingLion]

s/(?<=cc_number=)?(\d)/X/g;
Perl запись, не уверен в конкретной форме записи в PHP.

Answer 5

[SleepingLion]

Попробуйте
$data=preg_replace_all('(?<=cc_number=)?(\d)','X',$data);

Comments

[evgabd]

Поскольку вы отмечаете ретроспективную проверку как необязательную, ваш паттерн маскирует все числовые данные в строке.
Результат: cc_number=XXXXXXXX&amount=XXXX

[SleepingLion]

Приведите возможные варианты строк.
Например могут ли быть варианты
something=123412&cc_number=23423423&amount=2342
или
something=123412&cc_number=23423423

[evgabd]

Да, запросто:
account_id=1111222&zip_code=90210&cc_number=12345678&amount=1500
Порядок account_id, zip_code, cc_number и amount может быть любой (то есть нужен наиболее универсальный способ).
То есть задача — вычленить cc_number=\d+ и заменить цифры аналогичным количеством символов X

[SleepingLion]

Нужно сохранить количество символов карты и могут быть другие идентификаторы подобной длинны?

[SleepingLion]

Если одной регуляркой, то только так (разумеется, это только для доказательства, что реализовать можно — в реальный код я бы такое не ставил):
((?<=cc_number=)|(?<=cc_number=\d)|(?<=cc_number=\d\d)|(?<=cc_number=\d\d\d)|(?<=cc_number=\d\d\d\d)|(?<=cc_number=\d\d\d\d\d)|(?<=cc_number=\d\d\d\d\d\d)|(?<=cc_number=\d\d\d\d\d\d\d)|(?<=cc_number=\d\d\d\d\d\d\d\d)|(?<=cc_number=\d\d\d\d\d\d\d\d\d)|(?<=cc_number=\d\d\d\d\d\d\d\d\d\d)|(?<=cc_number=\d\d\d\d\d\d\d\d\d\d\d)|(?<=cc_number=\d\d\d\d\d\d\d\d\d\d\d\d)|(?<=cc_number=\d\d\d\d\d\d\d\d\d\d\d\d\d)|(?<=cc_number=\d\d\d\d\d\d\d\d\d\d\d\d\d\d)|(?<=cc_number=\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d))(\d)
Лучше не получилось. Проблема в том, что look-behind не поддерживает динамические размеры. По крайней мере в Perl (на PHP проверить не могу). Хотя можете попробовать:
(?<=cc_number=\d*))(\d)
Двумя регулярками было бы гораздо красивее — вычленяем, заменяем, склеиваем.

[evgabd]

Да, PHP не поддерживает динамические ретроспективные проверки.
Спасибо за проявленный интерес к вопросу!
Ниже предложили, что лучше не сохранять длину номера карты.

Answer 6

[evgabd]

(удалено, не туда ответил)

Answer 7

[Максим Иванущик]

Есть ли возможность обратиться к массиву $_POST?
Если да, то можно попробовать обойтись и без регулярного выражения.

$data = str_replace('cc_number='.$_POST['cc_number'], 'cc_number='.str_repeat('X', strlen($_POST['cc_number'])), $data);

Answer 8

[Push_Ok]

тут был не правильный комментарий

Answer 9

[Jonh Doe]

Исключительно как поиграться. Все-же предпочтительнее с колбеком.

$data[1] = "cc_number=1234567890123456&amount=1500";
$data[2] = "cc_number=12345678901234&amount=1500";
$data[3] = "amount=1500&cc_number=12345678901234&otherNumber=123123123";

$patterns = array ('/\d{16}/','/\d{14}/');
$replace = array ('xxxxxxxxxxxxxxxx','xxxxxxxxxxxxxx');
echo preg_replace($patterns, $replace, $data[1]);
echo "<br>";
echo preg_replace($patterns, $replace, $data[2]);
echo "<br>";
echo preg_replace($patterns, $replace, $data[3]);

Answer 10

[Дмитрий Пятков]

имхо, надежнее так:

<?php
$data = parse_str($data);
 if (isset($data["cc_number"])) {
    $data["cc_number"] = str_repeat("X", strlen($data["cc_number"])); 
} 
$data = http_build_query($data);
?>

Comments

[evgabd]

К сожалению, данный вариант слишком частный. Данные приходится отправлять в разных форматах: XML, JSON, NVP. Так что тут помогут только регулярки.