Должен ли я использовать сеансы для первых нескольких шагов (валидация, покупка отзыва), затем вводить информацию в базу данных в окончательном представлении?
Могут ли печенье попасть в суд и превратиться в судебный процесс? Это слишком рискованно?
Должен ли я защищать свой db любым специальным способом, если вы храните номера кредитных карт?
Любые рекомендации и личный опыт приветствуются.
Проблемы с кредитной картой имеют строгие требования (google «PCI Compliance») о хранении данных кредитной карты.
Существует, по крайней мере, один платежный шлюз, который позволяет выполнять аутсорсинг материалов соответствия: http://www.braintreepaymentsolutions.com/
В прошлый раз, когда я посмотрел, вы можете запустить начальную транзакцию и вернуть токен. Этот токен можно использовать для совершения будущих сборов против карты, но только от вас. Платежные шлюзы ребята заботятся о сохранении фактических данных кредитной карты.
Насколько я знаю (и я не занимаюсь тонкой обработкой карт), это, вероятно, лучшее решение, если вам нужно делать произвольные обвинения против одной и той же карты.
Если вам нужно всего лишь повторное взимание платы (установленная сумма через регулярные промежутки времени), большинство платежных шлюзов (authorize.net приходят на ум) могут быть настроены для этого.
В конце дня, если вы не имеете дело с особенно большим бюджетом, вам лучше отказаться от хранения карт #. Само по себе это слишком большая ответственность.
(Edit: Что касается хранения вещей в сеансе – да, вы, возможно, избежите этого, но вам, вероятно, следует избегать этого. Просто сделайте свой начальный захват / захват в процессе, когда информация CC будет отправлена.)