杜絕駭客~可否從號碼下手?

2016-07-07 15:02 来源:www.chinab4c.com 作者:ecshop专家

話說前日友人網站被駭~個資外洩~接下來就是詐騙集團一一打電話給下單過的客人~這可不得了~

資安建構絕對是杜絕駭客的一環~但小弟想起~從駭客的角度思考~突破重重關卡~最後的目的並非在破壞資料庫~而是取得資料庫~而其中最有價值的莫過於"電話"~因為這是詐騙集團與客人的唯一"接觸點"~

所以突發起想~依些特定產業~其實交易完成後留著客戶的資料並沒有實質上的意義~即使有交易糾紛~客戶也直接來電經營網站的公司~如果這點可以成立~交易完成後其實是可以把該交易的會員之電話移除的~

小弟看了一下現行的ecshop的購物流程~目前做到:
1. 新會員註冊不留電話
2. 會員中心新增地址處取消電話驗證並隱藏電話欄位(也就是說只新增收件人及地址)
3. 於購物流程(flow.php)時.因為寄件資訊沒有電話~所以會跳轉到寄件資訊化面~輸入電話後即可順利交易~

小弟做到以上步驟~接著只要在訂單提交數據庫後~刪除寄件資訊中的電話~就可以實現資料庫中不存客人的電話~並每次下單時客人只要重新入電話即可~

再來~訂單交易完成後~於後台按下出貨後~並同時移除數據庫中訂單資料的電話~就可以徹底不留客人電話了~這樣假使哪天網站備入侵~詐騙集團取得沒有電話的資料~是沒有用的~

但該如何實現(小弟大概知道sql的語法怎麼下,但不知道要寫在哪裡....還請高人指點):
1. 如何購物流程~訂單提交時移除寄件資訊中的電話?
2. 如何在後台管理訂單時~按下出貨後移除訂單資訊中的電話?

期望高人指點~互相交流!thanks!