Шифрование данных PHP

@kisell · Регистрация: 04.09.2014

Студворк — интернет-сервис помощи студентам

Доброго времени суток!
Сразу скажу, что мои знания в php равняются нулю
В этой строке нужно зашифровать значение value='45'. Как это нужно сделать? Если можно объясните подробнее, так как в PHP я не разбираюсь

PHP
1
$l["ok"] ="<input type='hidden' name='ik_pm_no' value='45' />

KOPOJI · 14.09.2014, 11:24

kisell, зашифровать или захешировать?

Не по теме:

И, главное, нафига?

@kisell · 14.09.2014, 11:37 **[ТС]**

Точно не знаю как это называется. Вообщем, это поле используется для оплаты. Через консоль можно легко поменять значение не 45, а к примеру на 5 и человек будет оплачивать не 45 грн, а 5. И мне нужно это значение как-то скрыть. Не знаю как точно называется, шифрование или хеширование

KOPOJI · 14.09.2014, 11:42

kisell, это практически невозможно. Если я смогу опознать шифр, то я в любом случае смогу изменить в консоли значение на свое. И, видимо, вы неверно спроектировали приложение - не могу представить, зачем такое может понадобиться. Товары для оплаты должны храниться в БД, и у них должна быть сохранена их цена. В форме же передается только id-шник товара, извлекаются данные для оплаты из БД - а не из формы, и уже по ним производится оплата. С денежными операциями нельзя полагаться на "авось не расшифрует".

@kisell · 14.09.2014, 11:53 **[ТС]**

У меня за цену товара отвечает $product->price. А как мне тогда вставить правильно вместо value='45'. Как только не пытался это делать, выдает ошибку, что значение ik_pm_no не найдет
$l["ok"] ="<input type='hidden' name='ik_pm_no' value='45' />

KOPOJI · 14.09.2014, 11:58

Практически ничего не понял из того, что вы написали.

Сообщение от kisell

за цену товара отвечает $product->price

Откуда эти данные берутся в свойстве price объекта $product ?

Сообщение от kisell

А как мне тогда вставить правильно вместо value='45'

Я уже говорил, что не вижу смысла в использовании скрытого поля с ценой. Любой, кто захочет, поменяет его на свое значение.

Сообщение от kisell

выдает ошибку, что значение ik_pm_no не найдет

Я без понятия, какая у вас там структура класса и БД. Телепатией, к счастью или сожалению, тоже не владею... Поэтому я не могу вам сказать, почему он его не находит, и что вам с этим делать..

@kisell · 14.09.2014, 12:04 **[ТС]**

Что зашифровать практически невозможно я уже понял)
Сейчас я спросил другое. Эта строка отвечает за сумму к оплате товара

PHP
1
$l["ok"] ="<input type='hidden' name='ik_pm_no' value='45' />

Дело в том, что если вставить в value="$product->price", цена товара будет вставляться автоматически. Т.е. когда я выкладываю товар, в раздел "Цена" я пишу его стоимость. Из эта цена будет вставляться в этот value, но только если я вставлю $product->price. Вот я и спрашиваю, как мне правильно нужно написать код, чтобы вставить этот $product->price
Пытался и value='".$product->price."', много всякого перепробовал, так и не вышло

KOPOJI · 14.09.2014, 16:40

Сообщение от kisell

так и не вышло

почему не вышло? Выдает ошибку или что? Поймите, тяжело помочь, не видя кода. Покажите ошибочный код, его поправят на "как надо"

@N3stY · 15.09.2014, 08:41

kisell, шифровать можно md5 или base64

PHP
1
2
3
4
//MD5
$tocode = md5($_POST['ik_pm_no']);
//Base64
$tocode = base64_encode($_POST['ik_pm_no']);

А по всему остальному, ничего не понятно

@Rayden · 15.09.2014, 10:20

Следует помнить что фронтэнд легко подвергается изменению, вся валидация связанная с тем что пользователь может что-то изменить через консоль - должна происходить на сервере. Смело ставьте value как посчитаете нужным, но не забудьте проверить может ли пользователь купить это за такую цену уже на самом сервере.

Dmitry · 15.09.2014, 10:29

имхо, у формы вида "Оплатить" д.б лишь одно поле - id заказа.
и по клику отсылать юзера на обработчик, вообще не имеющий никакого вывода в браузер. вот в этом обработчике уже и формировать запрос к платежной системе, а клиенту потом лишь отобразить результат

KOPOJI · 15.09.2014, 11:15

Сообщение от N3stY

шифровать можно md5 или base64

base64 - шифрование, не спорю. md5 же совсем не шифрование, а хеширование, пусть и не очень устойчивое к коллизиям. З.Ы. Алгоритмов что шифрования, что хэширования, куда больше..

Сообщение от Rayden

но не забудьте проверить может ли пользователь купить это за такую цену уже на самом сервере

Смысл проверять? Цену просто надо подцеплять с сервера, и не обращать внимание на то, что там пользователь ввел в цене вообще

Сообщение от Dmitry

имхо, у формы вида "Оплатить" д.б лишь одно поле - id заказа

Ну, я думаю, мало кто захочет покупать кота в мешке, и пользователь сначала захочет узнать цену, поэтому цену вывести как раз надо

Но вот выводить в поле ее, имхо, не стоит, лучше в обычный div, к примеру

Dmitry · 15.09.2014, 11:51

Сообщение от KOPOJI

пользователь сначала захочет узнать цену, поэтому цену вывести как раз надо

мне почему-то казалось, что "отобразить число на странице", и "сделать скрытый инпут с прописанным числом" - как говорят в одессе - "две большие разницы".

KOPOJI · 15.09.2014, 12:03

Dmitry, значит, я неверно вас понял...

@N3stY · 15.09.2014, 12:30

Не по теме:

KOPOJI, спорить не буду, не пользовался ни разу:) Тогда вывод из вами сказанного: пароли в бд зачастую хранят в виде хеша:scratch: интересно, но не лучше их криптовать в бейз?

Добавлено через 3 минуты

Сообщение от KOPOJI

Сообщение от Rayden
но не забудьте проверить может ли пользователь купить это за такую цену уже на самом сервере
Смысл проверять? Цену просто надо подцеплять с сервера, и не обращать внимание на то, что там пользователь ввел в цене вообще

Я думаю он имел ввиду, хватит ли пользователю денег на данную покупку или же нет, но насколько я знаю это проверяет платежка, а сайту всего лишь приходит ответ в виде POST или JSON или, что там еще есть.

Dmitry · 15.09.2014, 12:30

я имел ввиду, что между страницей (назовем ее так) "Корзина" и сервером платежной системы размещается еще один скрипт.

"Корзина" показывает человеку все, что он навыбирал и в нее наскладывал - товары, количества, цены, в том числе и "итого" - одним словом все, на что хватит фантазии. Но кнопка "Оплатить", как уже писал должна отсылать форму с единственным параметром - id-ом заказа, и отсылать ее на "промежуточный скрипт".

"промежуточный скрипт" по id-у заказа вынимает из базы все, что нужно - номер заказа, сумму заказа, при необходимости, какоето описание заказа или список вошедших в него позиций, данные учетной записи мерчанта в платежной системе, и НИКОИМ ОБРАЗОМ НЕ ВЫВОДЯ НИЧЕГО В БРАУЗЕР клиента, формирует и отсылает запрос на сервер платежной системы (либо же переадресовывает клиента на сервер платежной системы с уже сформированными параметрами запроса на оплату).

ну а потом уже клиенту (в зависимости от процедур сервера оплаты) как-то отобразить результат - прошел платеж, не прошел, и т.д. и т.п.

KOPOJI · 15.09.2014, 12:41

Не по теме:

Сообщение от N3stY

пароли в бд зачастую хранят в виде хеша интересно, но не лучше их криптовать в бейз?

Не лучше. Зачем вообще шифруют/хешируют пароли в БД? Чтобы на случай слива БД злоумышленник не получил пароли от аккаунтов. В случае использования base64 получить пароли не составит абсолютно никакого труда. В случае использования md5 без всякой соли и т.п., получить пароли также не составит особого труда. Поэтому либо используют другие алгоритмы хеширования (те же sha1 или crypt с DES и т.п.), либо добавляют определенный набор символов (соль) к паролю.

@N3stY · 15.09.2014, 13:18

Не по теме:

KOPOJI, Большое спасибо за поучительную информацию. Как говорится: Век живи, век учись:)

Новые блоги и статьи Все статьи Все блоги /
Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .
Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	14.09.2014, 11:24
	kisell, зашифровать или захешировать? Не по теме: И, главное, нафига? 0

@kisell 0 / 0 / 1 Регистрация: 04.09.2014 Сообщений: 79
	14.09.2014, 11:37 [ТС]
	Точно не знаю как это называется. Вообщем, это поле используется для оплаты. Через консоль можно легко поменять значение не 45, а к примеру на 5 и человек будет оплачивать не 45 грн, а 5. И мне нужно это значение как-то скрыть. Не знаю как точно называется, шифрование или хеширование 0

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	14.09.2014, 11:42
	kisell, это практически невозможно. Если я смогу опознать шифр, то я в любом случае смогу изменить в консоли значение на свое. И, видимо, вы неверно спроектировали приложение - не могу представить, зачем такое может понадобиться. Товары для оплаты должны храниться в БД, и у них должна быть сохранена их цена. В форме же передается только id-шник товара, извлекаются данные для оплаты из БД - а не из формы, и уже по ним производится оплата. С денежными операциями нельзя полагаться на "авось не расшифрует". 1

@kisell 0 / 0 / 1 Регистрация: 04.09.2014 Сообщений: 79
	14.09.2014, 11:53 [ТС]
	У меня за цену товара отвечает $product->price. А как мне тогда вставить правильно вместо value='45'. Как только не пытался это делать, выдает ошибку, что значение ik_pm_no не найдет $l["ok"] ="<input type='hidden' name='ik_pm_no' value='45' /> 0

@Rayden 12 / 12 / 3 Регистрация: 08.01.2012 Сообщений: 83
	15.09.2014, 10:20
	Следует помнить что фронтэнд легко подвергается изменению, вся валидация связанная с тем что пользователь может что-то изменить через консоль - должна происходить на сервере. Смело ставьте value как посчитаете нужным, но не забудьте проверить может ли пользователь купить это за такую цену уже на самом сервере. 0

Dmitry 13441 / 7534 / 831 Регистрация: 09.09.2009 Сообщений: 29,554
	15.09.2014, 10:29
	имхо, у формы вида "Оплатить" д.б лишь одно поле - id заказа. и по клику отсылать юзера на обработчик, вообще не имеющий никакого вывода в браузер. вот в этом обработчике уже и формировать запрос к платежной системе, а клиенту потом лишь отобразить результат 0

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	15.09.2014, 12:03
	Dmitry, значит, я неверно вас понял... 0

Dmitry 13441 / 7534 / 831 Регистрация: 09.09.2009 Сообщений: 29,554
	15.09.2014, 12:30
	я имел ввиду, что между страницей (назовем ее так) "Корзина" и сервером платежной системы размещается еще один скрипт. "Корзина" показывает человеку все, что он навыбирал и в нее наскладывал - товары, количества, цены, в том числе и "итого" - одним словом все, на что хватит фантазии. Но кнопка "Оплатить", как уже писал должна отсылать форму с единственным параметром - id-ом заказа, и отсылать ее на "промежуточный скрипт". "промежуточный скрипт" по id-у заказа вынимает из базы все, что нужно - номер заказа, сумму заказа, при необходимости, какоето описание заказа или список вошедших в него позиций, данные учетной записи мерчанта в платежной системе, и НИКОИМ ОБРАЗОМ НЕ ВЫВОДЯ НИЧЕГО В БРАУЗЕР клиента, формирует и отсылает запрос на сервер платежной системы (либо же переадресовывает клиента на сервер платежной системы с уже сформированными параметрами запроса на оплату). ну а потом уже клиенту (в зависимости от процедур сервера оплаты) как-то отобразить результат - прошел платеж, не прошел, и т.д. и т.п. 0

@N3stY
	15.09.2014, 13:18
	Не по теме: KOPOJI, Большое спасибо за поучительную информацию. Как говорится: Век живи, век учись:) 0