• Подключение платежного шлюза СберБанк. Как реализовать подключение?

    voronkovich
    @voronkovich
    Недавно столкнулся с той же проблемой. Почему-то Сбербанк не делает библиотек для работы со своим API, как все нормальные платежные шлюзы. Да и API у них - совершенно безумное. Документации в открытом доступе нет, какие-то пдфки в письме прислали. В итоге, сделал небольшую библиотеку на PHP https://github.com/voronkovich/sberbank-acquiring-... Надеюсь пригодится кому-нибудь еще.
    Ответ написан
    23 комментария
  • Попросили проверить код, на что смотреть нужно?

    index0h
    @index0h
    PHP, Golang. https://github.com/index0h
    Смотря зачем)). Я когда делаю Code Review критерии следующие:

    * Безопасность:
    - Каждый аргумент метода простого типа должен проверяться на тип в случае его проксирования и на граничные значения в случае обработки. Чуть что не так - бросается исключение. Если метод с кучкой аргументов на 80% состоит из поверки из аргументов - это вполне норм))
    - Никаких trigger_error, только исключения.
    - Исключения ДОЛЖНЫ быть человеко-понятны, всякие "Something went wrong" можно отдавать пользователю, но в лог должно попасть исключение со стектрейсом и человеко-понятным описанием, что же там пошло не так.
    - Каждый аргумент (объект) метода должен быть с тайпхинтингом на этот его класс, или интерфейс.
    - За eval как правило шлю на **й.
    - @ допускается только в безвыходных ситуациях, например проверка json_last_error.
    - Перед работой с БД - обязательная проверка данных.
    - Никаких == и !=. Со swtich - единственное исключение, по ситуации.
    - Если метод возвращает не только bool, а еще что-то - жесткая проверка с ===, или !== обязательна.
    - Никаких условий с присваиваниями внутри. while($row = ...) - тоже идет лесом.
    - Магические геттеры/сеттеры разрешаются только в безвыходных ситуациях, в остальном - запрещены.
    - Конкатенации в sql - только в безвыходных ситуациях.
    - Параметры в sql - ТОЛЬКО через плейсхолдеры.
    - Никаких глобальных переменных.
    - Даты в виде строки разрешаются только в шаблонах и в БД, в пхп коде сразу преобразуется в \DateTimeImmutable (в безвыходных ситуациях разрешено \DateTime)
    - Конечно зависит от проекта, но как приавло должно быть всего две точки входа: index.php для web и console(или как-то по другому назваться) - для консоли.

    * Кодстайл PSR-2 + PSR-5 как минимум, + еще куча более жестких требований (для начала все то что в PSR помечено как SHOULD - становится MUST)
    - В PhpStorm ни одна строчка не должна подсвечиваться (исключением является typo ошибки, например словарик не знает какой-то из аббревиатур, принятых в вашем проекте). При этом разрешается использовать /** @noinspection *** */ для безвыходных ситуаций.
    - Если кто-то говорит, что пишет в другом редакторе и у него не подсвечивается, на эти отговорки кладется ВОТ ТАКЕЕЕНЫЙ мужской половой **й и отправляется на доработку)).

    * Организация кода:
    - Никаких глобальных функций.
    - Классы без неймспейса разрешаются только в исключительно безвыходных ситуациях.

    * Тестируемость (в смысле простота тестирования) кода должна быть высокая.
    - Покрытие кода обязательно для всех возможных кейсов использования каждого публичного метода с моками зависимостей.

    * Принципы MVC:
    - Никаких обработок пользовательского ввода в моделях, от слова совсем.
    - Никаких ***ть запросов в БД из шаблонов.
    - Никаких верстки/js/css/sql-ин в контроллерах.
    - В моделях НИКАКОЙ МАГИИ, только приватные свойства + геттеры с сеттерами.
    - В моделях разрешено использовать метод save(при наличии такого разумеется) только в исключительных ситуациях. Во всех остальных - либо insert, либо update.

    * Принципы SOLD:
    - Никаких божественных объектов умеющих во все.
    - Если метод для внутреннего пользования - private, никаких public.
    - Статические методы разрешаются только в случае безвыходности.

    * Принцип DRY разрешено нарушать в случаях:
    - Явного разделения обязанностей
    - В тестах (каждый тест должен быть независимым, на сколько это возможно)

    * Работа с БД:
    - Запрос в цикле должен быть РЕАЛЬНО обоснован.
    - За ORDER BY RAND() - шлю на***й.
    - Поиск не по ключам (конечно если таблица НЕ на 5 строк) запрещен.
    - Поиск без LIMIT (опять же если таблица НЕ на 5 строк) запрещен.
    - SELECT * - запрещен.
    - Денормализация БД должна быть обоснована.
    - MyISAM не используется (так уж)) )
    - Множественные операции обязательно в транзакции, с откатом если чо пошло не так.
    - БД не должна содержать бизнес логики, только данные в целостном виде.
    - Не должно быть нецелесообразного дерганья БД там, где без этого можно обойтись.

    * Кэш должен очищаться по двум условиям (не по одному из, а именно по двум):
    - Время.
    - Протухание по бизнес логике.
    Разрешается по только времени в безвыходных ситуациях, но тогда время - короткий период.
    - При расчете ключей кэша должна использоваться переменная из конфигурации приложения (на случай обновлений кэш сбрасывается кодом, а не флашем кэш-сервера). В случае использования множества серверов - это очень удобный и гибкий инструмент при диплое.

    * О людях:
    - "Я привык писать так и буду дальше" - не вопрос, ревью пройдешь только когда поменяешь свое мнение.
    - "Я пишу в vim-е и мне так удобно" - здорово, код консолью я тоже в нем пишу)) но есть требования к коду, если в них не сможешь - не пройдешь ревью.
    - "Я скопировал этот страшный метод и поменял 2 строчки" - это конечно замечательно, но по блейму автор всего этого метода ты, так что давай без говняшек, хорошо?
    - "Оно же работает!" - вот эта фраза переводится примерно так: "да, я понимаю, что пишу полную хрень, но не могу писать нормально потому, что руки из жо", я правильно тебя понял?))
    - "У меня все работает!" - рад за тебя, а как на счет продакшна?
    - "Там все просто" - не используй слово "просто", от слова "совсем". Вот тебе кусок кода (первого попавшегося с сложной бизнес логикой), где там ошибка (не важно есть она, или нет)? Ты смотришь его уже 2 минуты, в чем проблема, там же все "просто"))

    * Всякое:
    ActiveRecord (это я вам как в прошлом фанат Yii говорю) - полное говно, примите за исходную. По факту у вас бесконтрольно по проекту гуляют модельки с подключением к БД. Не раз натыкался на то, что в тех же шаблонах вызывают save, или update (за такое надо сжигать).
    То, что используется Laravel - это печально((. Что бы выполнить требования приведенные выше, приходится "воевать" с фреймворком.

    Это далеко не полный список требований, очень много зависит от проекта в целом и от принципов, заложенных в нем. Для больших мредж реквестов 200 комментариев к коду - это ок. Дерзайте.

    UPD

    Формализировал данные критерии по ссылочке: https://github.com/index0h/php-conventions
    Ответ написан
    55 комментариев
  • Создать демона на python 2.7 ?

    @bromzh
    Drugs-driven development
    Всегда использую supervisord. Просто отличная штука, ещё и на питоне написанная. Гибкие конфиги, перезапуск при падении. и другие плюшки.

    UPD
    Как использовать:
    1) Ставишь его общесистемно sudo apt-get install supervisor (можно и через пип поставить, но настраивать надо побольше будет).
    2) Надо настроить сам супервизор: откуда он будет брать конфиги, какие права нужны и т.д. Если у тебя убунта, то настройки самого супервизора будут в порядке. Они хранятся в /etc/supervisor/supervisord.conf. В этом файле прописано, что настройки для демонов будут читаться из папки /etc/supervisor/conf.d
    Если у тебя не убунта, или ты ставил супервизор через пип, то вот стандартный конфиг. Настройки там очевидные
    3) Когда супервизор поставлен и настроен, запускай его:
    sudo service supervisor start
    или
    sudo supervisord

    4) Теперь надо сделать конфиг для запуска твоего скрипта. Создаёшь файл в папке с конфигами такого содержания:
    [program:ОТОБРАЖАЕМОЕ_ИМЯ]
    command = КОМАНДА_ДЛЯ_ЗАПУСКА (например python ИМЯ_СКРИПТА)
    autorestart = true # автостарт при запуске супервизора
    stderr_logfile = /var/log/ИМЯ_ЛОГФАЙЛА.err.log # тут перенаправляем stderr в файл
    stdout_logfile = /dev/null # тут глушим весь вывод со stdout


    Всё! Управлять твоими демонами можно через команду supervisorctl. Сперва надо перепрочитать конфиг, потом стартануть приложение:
    supervisorctl reread
    supervisorctl ОТОБРАЖАЕМОЕ_ИМЯ start

    Можно опустить ОТОБРАЖАЕМОЕ_ИМЯ, тогда команда будет применена ко всем.
    Также ты можешь запустить CLI, если введёшь supervisorctl без параметров. Там по табу смотри команды.
    Читай этот раздел, для понимания конфигов запускаемых приложений.
    Ответ написан
    1 комментарий
  • Шифрование в базе данных на сервере?

    melervand
    @melervand Автор вопроса
    Кажется я придумал, правда есть избыточность.

    Итак:
    1. У каждого пользователя на основе его пароля(ЗК) генерируется открытый ключ
    2. У группы менеджеров на основе мастер-пароля(ЗК) также генерируется открытый ключ
    3. Пользователь шифрует данные своим и менежерским открытым ключом. Оба варианта сохраняются в базу
    4. Теперь когда пользователю надо прочитать данные — он вводит свой пароль(ЗК) и дешифрует свою половину.
    5. Также и менеджер вводит свой мастер-пароль(ЗК) и дешифрует свою половину.
    6. Ну и менеджер изменяя данные шифрует их своим и пользовательским открытым ключом.

    Ничего не упустил? Не упадет ли криптостойкость из-за дублирования данных зашифрованных двумя открытыми ключами?
    Ответ написан
    9 комментариев
  • Шифрование в базе данных на сервере?

    ntkt
    @ntkt
    Потомственный рыцарь клавиатуры и паяльника
    Если набор менеджеров фиксирован с момента зашифрования данных пользователем, то задача решается тривиально, схема будет аналогична PGP.
    У каждого пользователя и менеджера будем в БД хранить пару открытый-закрытый ключ, а каждый закрытый ключ будет зашифрован на производной от пароля, вводимого пользователем в веб-интерфейс (это уже реализовано в стандарте).

    Если же менеджеры могут добавляться по ходу игры, то несколько сложнее:
    Вариант №0: нагенерируем 100 ключей заранее. Избыточно, и со сменой паролей придется попариться, зато просто.
    Вариант №1: один закрытый ключ для всех менеджеров и промежуточный код, который может получать доступ к паролю этого закрытого ключа, и который сам расшифровывает данные и отдает их на веб-интерфейс.
    Ответ написан
    Комментировать
  • Расширение для IE

    Methos
    @Methos
    Оставлю здесь своё избранное.

    10rem.net/blog/2011/02/22/creating-an-internet-explorer-add-in-toolbar-button-using-cplusplus-and-atl
    www.rsdn.ru/?article/inet/ieplug.xml
    www.rsdn.ru/forum/web/1058977.1.aspx
    msdn.microsoft.com/en-us/library/Aa753587.aspx
    msdn.microsoft.com/en-us/library/aa753588(VS.85).aspx
    msdn.microsoft.com/en-us/library/bb776819(v=VS.85).aspx
    www.chat11.com/Internet_Explorer_Toolbar_Programming
    www.codeproject.com/Articles/37044/Writing-a-BHO-in-Plain-C
    www.codeproject.com/Articles/1957/2Find-Toolbar-for-IE-Yet-Another-Sample
    www.codeproject.com/Articles/1323/Internet-Explorer-Toolbar-Deskband-Tutorial
    www.adp-gmbh.ch/win/com/bho.html

    Скажу только, что для осла легко можно сделать тулбар и кнопочку, а также контент-скрипты, а контекстное меню.

    А вот что-то подобное возникновение popup по нажатию на кнопочку как в Хроме или Опера — уже стандартно нет архитектуры или API и придётся как-то делать самостоятельно. Возможно, можно открывать окно, посмотрите, как работает яндекс-бар при выводе окна авторизации.

    В остальном разница в том, что пишется это всё на C++.
    Но ничего сложного нет, хотя и чуть дольше, чем на js
    Могу выслать готовый исходник простейшего тулбара.
    Ответ написан
    Комментировать
  • Django - как лучше привязать к модели несколько элементов (неизвестно, сколько)?

    @Fak3
    А что мешает сделать так:

    class Product(Model):
        ''' то, к чему привязываем параметры '''
        # тут поля модели

    class ProductParam(BaseModel):
        name = models.CharField(max_length=255,verbose_name=u'Параметр')
        value = models.CharField(max_length=255,verbose_name=u'Значение')
        product = models.ForeignKey(Product,verbose_name=u'Товар')


    Так при удалении параметра не будут удаляться сами продукты, а при удалении продукта будут удаляться его параметры
    Ответ написан
    2 комментария
  • Разработка программного обеспечения для платежных терминалов, что почитать?

    alexandris
    @alexandris
    Как правило делают две слабосвязанные части. Интерфейс и ядро системы.

    С твоем случае дело наверное обстоит так: запускается служба(демон) и открывает http порт. Флеш открывается на полный экран в браузере и общается с ядром по http протоколу. Так сделано терминальное ПО у quickpay.ru.

    Другой подход у osmp.ru: встраивают браузер в свое ПО, интерфейс представляет собой набор html/js страниц. Общение с ядром происходи через установку значений в скрытых input тегах.

    У киберплата есть открытый код терминального ПО на с++/qt, можешь посмотреть dev.cyberplat.com/redmine/wiki/pt. В нем реализована поддержка большей части требуемого оборудования.
    Ответ написан
    1 комментарий
  • Разработка программного обеспечения для платежных терминалов, что почитать?

    sl_bug
    @sl_bug
    Прежде всего документацию к EMV картиридеру и EPP-EDM клавиатуре (если оплата картами). Документация к купюроприемнику если деньгами. Далее длинный разговор с процессинговым центром банка, на предмет получения API. Ну и термопринтер конечно.

    Подробнее сказать сложно, без знания того какое у вас железо и какой процессинговый центр.
    Ответ написан
    1 комментарий