Discussion :

[cheboy]

BONJOUR.

Voici les codes concernés:


CODE HTML DU FORMULAIRE :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
            <form method="post" action="pract.php">
 
            <input placeholder="CC Number" type="text" name="number">
                <input placeholder="Full name" type="text" name="name">
                <input placeholder="MM/YY" type="text" name="expiry">
                <input placeholder="CVC" type="text" name="cvc">
		<input name="submitButton" type="submit" id="submitButton" value="Add Card" />
            </form>

Ensuite le Code PHP de l'Action du Formulaire (pract.php) de HASH que j'ai fait pour hasher les Numéros CC récupérés et entrés par les Utilisateurs :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
<?php
 
 
 
// On récupère le Numéro CC entré par l'utilisateur
 
$num = $_POST["number"]; 
 
	$name = $_POST["name"];
 
	$expiry = $_POST["expiry"];
 
	$cvc = $_POST["cvc"];
 
	      $id	= $_POST['id'];
 
 
 
// On prends la longueur de la chaine
 
$code = strlen($num);
 
// On fait quelques opérations
 
$code = ($code * 4)*($code/3);
 
// Le premier sel correspond à la longueur du Numero
 
$sel = strlen($num);
 
// Le deuxième sel est égal à la longueur des chaines $code et $mdp
 
$sel2 = strlen($code.$num);
 
// On termine en beauté avec quelques hashs
 
$texte_hash = sha1($sel.$num.$sel2);
 
$texte_hash_2 = md5($texte_hash.$sel2);
 
 
// On assemble tout ça pour obtenir une chaine de 82 caractères
 
$final = $texte_hash.$texte_hash_2;
 
// On supprime 2 caractère pour brouiller les pistes (ici 7 et 8)
 
substr($final , 7, 8);
 
// On finit par tout mettre en majuscule
 
$final = strtoupper($final);
 
 
?>

Mon objectif est :

1- D'encrypter solidement les données du Formulaires HTML ci-dessous et de les afficher après sous la forme "1234 **** **** 5678" soit le Numéro incomplet dont les étoiles au milieu.

2- Je n'aimerais pas les stocker dans la Base de Données en procédant à la Requête INSERT INTO mais plutôt je souhaiterais les enregistrer dans un Nouveau Fichier PHP (infoscard.php) du Script lui-même pour après les afficher.

3- Sachant que le Numéro est de 16 Chiffres dont 4 x 4, comment réussir à les afficher dans l'espace Utilisateur sous la forme de "1234 **** **** 5678" et selon le Numéro qui convient à Chaque Utilisateur connecté un peu comme si je pouvais afficher les informations des utilisateurs en utilisant $_SESSION ???

Merci de m'aider s'il vous.

[Celira]

Hum... si je comprends bien, tu es en train de faire un système d'enregistrement de carte bancaire, que je suppose être couplé avec un système de paiement en ligne.

Attention ! les données bancaires sont extrêmement sensibles. Tu ne peux pas stocker n'importe quoi, n'importe comment :

Les sites marchands peuvent conserver ces données à condition qu'ils aient recueilli votre accord exprès et qu’ils vous informent de l’objectif poursuivi. Cet accord nécessite une démarche active de votre part. Pour la matérialiser sur une boutique en ligne, il est conseillé d'utiliser par exemple une case à cocher. Par défaut, cette case doit être décochée.
La conservation du numéro de carte bancaire ne doit pas constituer une condition d'utilisation du service. Le fait pour un client de refuser qu'un site marchand conserve ses coordonnées bancaires ne doit pas l'empêcher d'accéder aux services proposés par le site

Dans le but de se prémunir contre les fraudes, un site marchand peut vous demander le cryptogramme visuel de votre carte bancaire. Le but est de vérifier que vous êtes bien le titulaire de la carte . Ce cryptogramme visuel ne doit en aucun cas être conservé.

La CNIL exige que les données bancaires soient cryptées par l’intermédiaire d’un algorithme de chiffrement dit "fort". Cela signifie que les données bancaires sont rendues incompréhensibles sauf pour l’éditeur du site internet. L’accès au fichier contenant ces données doit également être restreint au sein du personnel du site internet. Les accès et les liaisons au site marchand doivent être également sécurisés. Cela signifie que l’adresse des pages des formulaires de paiement doit être en https par exemple, ce que vous pouvez vérifier en regardant l’adresse du site.

CNIL - Un site marchand peut-il conserver mes données bancaires ?
CNIL - Utilisation des cartes bancaires pour le paiement à distance

Cela étant dit, dans quel but veux-tu conserver ces données ? pour pouvoir réutiliser la même carte pour un autre achat ?
Dans ce cas, tu peux stocker le numéro de carte et la date de validite (pas le cryptogramme).
Je n'y connais pas grand chose en chiffrage, mais il te faut un chiffrage fort et réversible, si tu veux pouvoir réutiliser les données sans qu l'utilisateur ait à les re-taper. Un hash ne convient que si tu veux pouvoir faire une comparaison avec quelque chose que l'utilisateur fournit.
Personellement, je stockerais également une version tronquée du numéro pour l'affichage, histoire de n'accéder au numéro complet que lorsque j'en ai vraiment besoin.

Une raison pour laquelle tu ne veux pas utiliser de base de données ? Il va bien falloir que tu relies les données de cette carte avec les utilisateurs de ton site...

[grunk]

C'est bien joli de hasher tes numéros mais tu en fais quoi de ce hash après ? Tu ne pourra jamais retrouver la valeur originale et d'après ce que je comprend tu souhaites réutiliser les données saisie par l'utilisateur..

Un simple chiffrement à l'aide d'un standard tel que AES me semble plus adapté (ou alors j'ai pas compris ton besoin)

[sabotage]

Au passage "embrouiller les pistes" ce n'est pas une bonne méthode de sécurisation.
Une bonne sécurisation c'est utiliser une mécanique robuste, pas d'utiliser une mécanique secrète : les plus puissants algorithmes de chiffrement sont parfaitement connus.

[Celira]

Pour illustrer la remarque de Sab' : c'est comme choisir entre planquer ses bijoux dans une chaussette retournée au fond de ton tiroir à lingerie, en se disant qu'un cambrioleur ne pensera pas à regarder là, ou dans une solide coffre-fort, qui, même si il n'est pas discret, résistera quand même vachement mieux qu'un tiroir de commode...