Encriptar datos

Integer78 · #1 (**permalink**) 09/02/2015, 15:18

Tengo que guardar datos de tarjetas de crédito en una base de datos MySQL ¿cómo me aconsejan encriptarlos o protegerlos?

Desde ya muchas gracias.

cybervandal · #2 (**permalink**) 09/02/2015, 16:50

tienen que ser legibles después de ser encriptados? osea tiene que tener un decode?

omarvale88 · #3 (**permalink**) 09/02/2015, 16:56

Utiliza el metodo de encriptación que desees y como recomendación utiliza el campo de tipo BLOB en MySQL. El siguiente método de encriptación es muy bueno:

$NumTarjeta=$_POST['numero'];
$encriptar=sha1($NumTarjeta);
$query=mysql_query("insert into MITABLA(numero_tarjeta)values("'.$encriptar.'")");
echo "Guardado y encriptado";

Espero y te sirva. Saludos...

cybervandal · #4 (**permalink**) 09/02/2015, 17:13

Cita:

Iniciado por omarvale88

Utiliza el metodo de encriptación que desees y como recomendación utiliza el campo de tipo BLOB en MySQL. El siguiente método de encriptación es muy bueno:

$NumTarjeta=$_POST['numero'];
$encriptar=sha1($NumTarjeta);
$query=mysql_query("insert into MITABLA(numero_tarjeta)values("'.$encriptar.'")");
echo "Guardado y encriptado";

Espero y te sirva. Saludos...

existen bd con muchos de los valores reales. yo recomendaría una mezcla de los dos para evitar la fuerza bruta y las bd de usuarios de internet:
$encriptar=sha1(md5($NumTarjeta));
o
$string="cualquiercosaAbcDE";
$encriptar=sha1($string.md5($NumTarjeta));

pero md5 no se puede desencriptar!!! por eso mi pregunta anterior
Saludos!

pateketrueke · #5 (**permalink**) 09/02/2015, 17:37

Cita:

pero md5 no se puede desencriptar!!! por eso mi pregunta anterior

cybervandal, sucede que MD5 no es un mecanismo de encriptado, no entiendo de dónde sacaste tan brillante idea.

A todos les sugiero leer el apartado de seguridad acá: http://www.phptherightway.com/#security

Aunque ahí se habla de contraseñas aplica igualmente para cuaquier tipo de dato sensible.

cybervandal · #6 (**permalink**) 09/02/2015, 18:05

Cita:

cybervandal, sucede que MD5 no es un mecanismo de encriptado, no entiendo de dónde sacaste tan brillante idea.

Pero se me ha entendido no? Que más dara decir cifrado que encriptado, aquí en España hacemos nuestras propias traduciones ;)

gnzsoloyo · #7 (**permalink**) 09/02/2015, 18:29

Es que no es lo mismo un cifrado reversible que lo que se hace con MD5. Este permite realizar un hash, pero no "encripta" en el sentido de ocultar algo para luego poder volver a obtenerlo.
Si lo que necesitas es algo que pueda revertirse y recuperar lo anterior, no es MD5 lo que debes usar.
A eso se refiere @pateketrueke.

Probablemente lo que estés buscando es Mcrypt

Integer78 · #8 (**permalink**) 10/02/2015, 08:53

Muchas gracias por sus respuestas!

Definitivamente necesito un método que sea reversible. Yo quiero guardar en la bd los datos encriptados, pero luego debo poder desencriptarlos para que las personas correspondientes los utilicen.

Por lo tanto MD5 está descartado.

Si lo hago así: $encriptar=sha1($NumTarjeta); como dice omarvale88 ¿luego cómo hago para desencriptarlo?

omarvale88 · #9 (**permalink**) 10/02/2015, 09:18

Pensandolo bien, desde el punto de vista que menciona pateketrueke tiene razón. En éste caso si se necesita que la información encriptada sea utilizada nuevamente por el usuario, entonces pueden utilizarse metodos como base64 o mycrypt.
Ejemplo:

<?php
$NumTarjeta = $_POST['numero'];
//Encripto
$encriptado = base64_encode($NumTarjeta);
echo $encriptado;
//Desencripto
$desencriptado = base64_decode($encriptado);
echo $desencriptado;
?>

Espero y te quede claro con ésto cybervandal.

hhs · #10 (**permalink**) 10/02/2015, 09:26

Base64 no es un método de cifrado

omarvale88 · #11 (**permalink**) 10/02/2015, 09:41

Cita:

Base64 no es un método de cifrado

Es correcto hhs, Base64 no es un metodo de cifrado pero si es un metodo de codidficación de datos el cual ayuda a que la información no sea legible hasta que éste sea decodificado.

hhs · #12 (**permalink**) 10/02/2015, 09:50

Que tu lo utilices de esa forma no significa que eso es:
https://blogs.oracle.com/rammenon/en...se64_explained

pateketrueke · #13 (**permalink**) 10/02/2015, 10:09

¿Cual es el objetivo de "descifrar" una valor así?

Es decir, siendo el mismo efecto de una contraseña: que jamás debe saberse.

¿Por qué?

Integer78 · #14 (**permalink**) 10/02/2015, 12:44

pateketrueke es un sitio Web donde los usuarios ingresarán sus números de tarjeta para comprar el servicio que éste presta. Mi idea es guardar esos datos encriptados por seguridad. PERO luego esos datos deben poder ser visualizados por lo administradores del sitio quienes se encargarán de procesar los pagos y necesitan tener acceso a esa información, por lo tanto debo poder desencriptarla.

gnzsoloyo · #15 (**permalink**) 10/02/2015, 13:24

@Integer78: Lo que estás planteando hacer es incorrecto, e ilegal en la inmensa mayoría de los paises.
De hecho, las propias empresas propietarias de las tarjetas deben indicarte cuales son los protocolos de encriptación, y qué restricciones de almacenamientos debes cumplir. Almacenar esa información es algo que tu no puedes decidir, porque no son tuyos, y como te menciono, en casi todos los países esa acción constituye un ilícito.
Es un tipo de dato regulado.
Verifica con la autoridad responsable de las transacciones para ver qué es lo que debes hacer, qué debes usar y qué puedes guardar.

La cosa no es tan simple.

Integer78 · #16 (**permalink**) 11/02/2015, 14:28

gnzsoloyo gracias por la advertencia. Ya mi cliente está consultando con sus abogados y luego me dirán bien qué y cómo hacerlo.

Agradezco a todos por sus respuestas. Dejo el tema abierto porque seguramente después tendré más dudas sobre esto.