Как заставить HTTPS использовать один файл? (PHP)

Question

У меня есть один файл PHP, который обрабатывает обработку кредитных карт. Он начинается как форма ввода номера кредитной карты, затем становится экраном подтверждения (с указанием номера кредитной карты), а затем еще раз обрабатывает и отображает результаты. Все три загрузки будут выполнены с помощью PHP-представлений (я понимаю, что подтверждение может быть лучше, чем Javascript, но я его не написал). Это единственный файл в каталоге, который обрабатывает кредитные карты, и поэтому он является единственным, для которого требуется соединение httpS.

Я попытался выполнить это с помощью массива $ _SERVER, просматривая протокол, используемый для подключения из префикса SCRIPT_URI (или другой записи), но ни один из них не имел префикс.

Есть ли простой способ сделать это с файлом .htaccess в том же каталоге? Как это сделать для ТОЛЬКО одного файла? Если есть какой-либо другой простой способ, как мне это сделать?

Извините за вопросы, но мои поиски до сих пор здесь не нашли рабочего решения, и я боюсь, что не знаю, что такое лучшая практика.

Спасибо!

Answer 1

В начале страницы PHP, который делает всю вашей обработку кредитных карт, вы можете добавить следующее:

Он перенаправляет обратно к себе, за исключением использования https, если он был первым загружен более http. Конечно, для вашего домена вам все равно нужен сертификат SSL.

if (!isset($_SERVER['HTTPS']) || !$_SERVER['HTTPS']) { // if request is not secure, redirect to secure url 
    $url = 'https://' . $_SERVER['HTTP_HOST'] 
         . $_SERVER['REQUEST_URI']; 

    header('Location: ' . $url); 
    exit; 
} 

Я использую эту же логику в PHP, чтобы обеспечить весь свой домен, поставив, что в файл, который всегда вызывается в начале каждого запроса на моем сайте.

Answer 2

Поместите следующий код в файл .htacces в папке:

RewriteEngine On 
RewriteCond %{SERVER_PORT} !443 
RewriteRule (.*) https://www.example.com/require-secure/ [R] 

Стреляет, если порт не 443 (443 для HTTPS) и перенаправляет на https://www.example.com/require-secure/.

Примечание: mod_rewrite необходим, но в основном доступны

Answer 3

Во-первых, почему вы хотите, чтобы целенаправленно сделать весь сайт использовать незащищенное протокол? У вас действительно есть такой жесткий бюджет производительности, что вы не можете переварить накладные расходы TLS? Преждевременная оптимизация - это проклятие человечества.

Кроме того, говоря, что сценарий обработки кредитных карт является единственным, который требует HTTPS, подразумевает, что ваша система входа в систему отправляет пароли в ящике. Это не просто жадно, а просто плохой дизайн.

Это в стороне, правильным решением является использование mod_rewrite для принудительного перенаправления на HTTPS по этой ссылке. Альтернативное решение, если у вас нет возможности управлять конфигурацией сервера вообще (даже через .htaccess), заключается в том, чтобы ваш PHP-скрипт сначала проверял протокол, и если это не HTTPS, вы можете перенаправить и завершить.