Php 支付网站Flex的安全性

所以，自从我写了我公司主要面向互联网的网站并上线以来，已经有3年了。最初是用php编写的，我只是在这里和那里做了一些小的更改，以便按照我们的需要改进网站

在过去的一年左右，我一直想从头开始重写它，现在，我们想添加一些主要功能，所以这是一个完美的时机

这个有问题的网站和银行网站的距离是一样近的（不是银行；很抱歉不清楚，但是我能提供的信息越少越好）

对于重写，我希望尽可能地将表示层与处理层分开。我希望最终用户被困在一个盒子里，可以说是无法走出去

（这都是因为PCI自满，每3个月进行一次PEN测试，等等。）

所以，每三个月被调查一次，这让我越来越紧张。我们还没有失败，也没有出现突破，但我想确保我能继续通过（无论如何，尽我所能）

因此，我正在考虑在AdobeFlex中重写表示层，并用PHP进行所有处理（实际上，我将表示与处理分离）——我将用Flex进行所有常规表单验证（与javascript或PHP相反），并通过PHP对db进行读写

我的问题是： 我知道Flash有99%的市场渗透率——人们觉得这是真的吗？有没有人在自己的网站上看到有人无法访问flash

Flash一般都会受到很多关于安全之类的攻击——我知道这一点。我会使用swf encryptor-disable调试（我曾经在另一个应用程序上遇到过一次），继续使用https和我能想到的任何其他方式

说到底，每个人都知道，如果有人想把数据弄得够糟，他们会想办法进去；我只是想让他们尽我所能的困难

任何想法都很感激

---

-马里奥

总有人出于这样或那样的原因不安装Flash插件。请记住，这些人显然是少数。还要认识到，有些人仍然拒绝启用Javascript。你要问自己的问题是，这个小组是否足以让你放弃一些新技术

如果答案是肯定的，您将不得不求助于普通的HTML表单处理，将所有内容发送到服务器进行验证，等等

---

如果答案是否定的，不要害怕使用Flex。它可以与

https

协议一起正常工作，并且可以像您希望的那样安全。也就是说，我不会在客户端上使用它进行用户名/密码验证；这些信息应始终加密并发送到安全服务器。但验证其他类型的字段（电话号码等）不应该是一个问题

总有人出于这样或那样的原因不安装Flash插件。请记住，这些人显然是少数。还要认识到，有些人仍然拒绝启用Javascript。你要问自己的问题是，这个小组是否足以让你放弃一些新技术

如果答案是肯定的，您将不得不求助于普通的HTML表单处理，将所有内容发送到服务器进行验证，等等

---

如果答案是否定的，不要害怕使用Flex。它可以与

https

协议一起正常工作，并且可以像您希望的那样安全。也就是说，我不会在客户端上使用它进行用户名/密码验证；这些信息应始终加密并发送到安全服务器。但验证其他类型的字段（电话号码等）不应该是一个问题

肯定有人没有安装Flash，也有人禁用了JavaScript。但是，无论您是为普通HTML表单开发公共分母，还是开发高端表单，例如Flex或AJAX，都永远不要依赖客户端来验证输入。这是很好的第一步，但是来自客户端的所有东西，无论是Flash、Ajax、Silverlight还是其他什么，都可以伪造

肯定有人没有安装Flash，也有人禁用了JavaScript。但是，无论您是为普通HTML表单开发公共分母，还是开发高端表单，例如Flex或AJAX，都永远不要依赖客户端来验证输入。这是很好的第一步，但是来自客户端的所有东西，无论是Flash、Ajax、Silverlight还是其他什么，都可以伪造

+1表示完整的答案。我会插嘴说，仅仅因为付费客户没有安装flash就拒绝他们是个好主意吗？好吧，这仍然是我心中最大的疑问。在我看来，在flex中编译前端消除了后退/前进按钮的功能；消除视图源窗口中的javascript/html/表单数据；消除了用于处理等的内部服务器端页面的暴露。。。所以问题变为（对我来说无论如何）是拒绝人们没有安装flash，可以接受获得一些安全功能？在一天结束时，如果他们真的想付费并且没有安装flash，他们仍然可以简单地打个电话…@Mario：你可以在Flex中保留后退/前进按钮功能。你只需要为它编码。看，哦，我肯定。在我看来，向后/向前松懈是一种好处。我不希望他们能够返回或前进，在我的网站上无论如何。如果他们想离开去其他地方，那没关系，但我不想让他们在到达其他网站之前再回来。完整的答案是+1。我会插嘴说，仅仅因为付费客户没有安装flash就拒绝他们是个好主意吗？好吧，这仍然是我心中最大的疑问。在我看来，编撰前en