Sollte ich das CreditCardAttribute zu validieren Kreditkarte zahlen?

Sollte ich verwenden Microsoft CreditCardAttribute zu validieren Kreditkartennummern wie so?

[Required, CreditCard]
public string CreditCardNumber { get; set; }

Oder sollte ich das payment-gateway umgehen, oder etwas anderes tun? Ich Frage nach der Entdeckung von einigen Kunden nicht möglich, senden Sie Zahlung mit Ihrer Kreditkarte Informationen. Zum Glück, ich war in der Lage, mit einem dieser Kunden, und fand, dass Ihre Visa-Karte wurde verarbeitet, ohne ein problem nach dem entfernen der CreditCardAttribute.

Teil, diese Frage ist rhetorisch, aber ich würde gerne davon profitieren andere Entwickler die Gedanken und Erfahrungen, und machen andere Entwickler bewusst die Risiken bei der Verwendung der CreditCardAttribute Frage.

  • Ein link auf die Dokumentation des Attributs in Frage wäre sehr hilfreich.
  • Hier. Schnelle google-Suche geht ein langer Weg.
  • Diese Frage bietet einen Einblick in, wie die CreditCardAttribute überprüft die Eingabe.
  • Es wäre interessant zu hören, was anders war, dass bestimmte Kunden die Karte mit der Zahl...
  • und danke für den link zu mehr info. Was ich glaube, was ich entdeckt habe ist, dass selbst wenn der Algorithmus ist zu 100% korrekt einige Kreditkarten, die einfach nicht passieren Validierung, weil Sie nicht entwickelt wurden, entsprechen dem Muster, das Luhn überprüft wird, und das ist sehr schlimm, wenn es bedeutet, dass Einnahmen verloren gehen.
  • zu meiner überraschung ist der Kunde, mit dem ich zusammenarbeitete, hatte eine Visa-Kreditkarte. Ich war die Hälfte erwartet eine weniger typische Kreditkarte, vielleicht American Express oder Discover. Leider weiß ich nicht viel darüber hinaus, vielleicht, Ihre Karte war eine Visitenkarte, und für einige Grund-Geschäft-Visa-Karten nicht entsprechen Luhn. Ich bin hoffentlich jemand, der weiß mehr über credit card validation im Allgemeinen wird in der Lage sein zu Wiegen.
  • Es geht nicht um die Geschwindigkeit googeln, aber über die Vollständigkeit der Frage.
  • BTW ich habe noch einen link zu der Frage. Danke Ondrej für Fragen und Josh für die Bereitstellung der Verbindung.
  • Du hast Recht, habe nicht zu bedeuten, sound snarky.
  • Wenn Sie verwenden, um zu überprüfen, würde ich empfehlen, sich auf der gateway-Plattform müssen Sie integriert werden, um für card validation. Sie haben in der Regel eine direkte integration der Prozessoren, die überliefern, einen " BIN range-Datei auf einer regelmäßigen basis zu ermöglichen, für eine genauere Prüfung.
  • das ist, was ich beschlossen habe zu tun, für jetzt, weil es scheint mehr zuverlässig, aber PaulG ist behauptet in seiner Antwort, dass der Algorithmus sollte auf so ziemlich jede Kreditkarte. Also ich bin immer noch Fragen, was falsch gelaufen ist. Vielleicht habe ich einen Fehler gemacht. Ich sehe Sie schon im Geschäft für 5 Jahre. Haben Sie lief in Probleme mit Kreditkarte sanity-check nicht vorbei?
  • Ehrlich gesagt, ich habe immer Verlass auf meine Gateway-team zu ziehen, um die BIN-Dateien und führen die Validierung für bestimmte Transaktionen (FSA/IIAS), sonst machen wir nur eine einfache Zählung der Ziffern und lass den Prozessor die Arbeit machen. Ich glaube nicht eine 3rd-party (MS in diesem Fall), um eine zuverlässige überprüfen, da es sich schnell ändern kann und oft zu Zeiten. Ich habe ein paar mal gesehen, wo eine Karte, die Marke ist falsch abgeleitet oder überhaupt nicht, wenn die BIN-Datei war alt oder beschädigt. Case in point, die vor kurzem PayPal gekauft, BIN reicht von Entdecken Sie und werden schließlich Ihre und nicht mehr eine Disc-Marke.
  • Du hast mich falsch verstanden. Dies ist nicht BIN ein range-check, nur ein luhn digit zu überprüfen. (Für den Datensatz ich BIN damit einverstanden, dass die Reichweitenkontrolle ist sinnlos, es sei denn, Sie haben Zugang zu den neuesten IIN Datenbank von der ABA. Sobald der luhn digit ist validiert, ist es am besten, senden Sie es an den Prozessor, als ich sagte in meiner Antwort unten)
  • Ich Stimme absolut mit dir, ich wollte nur sagen, dass ich nicht auf Sie berufen, luhn überprüft, es sei denn absolut notwendig, weil der false positives, und erlaubte stattdessen die Transaktion fehlschlägt oder (aus Gründen der Kosten) tokenisierung der Karte und verwenden der gateway-überprüfen Sie auf die Karte. Ich weiß, dass mein gateway team hat eine sehr umfangreiche Karte Gültigkeitsprüfung (luhn, bin Bereich, etc) und ich möchte nicht den code duplizieren. Fast alle Kreditkarten bestehen würde, die luhn, aber ich sagte, einige nicht-Karte zahlen würde.
  • Sie sagte, "Fast alle Kreditkarten bestehen würde, die luhn'. Nur schwarz und weiß über diese... weißt du, alle Kreditkarten, die fail eine luhn-check, aber ansonsten gültige? In meinen 10+ Jahre Erfahrung, unzählige Millionen von Transaktionen, die ich noch nie gesehen. Und das ist das, was Jeremy ist zu fordern, finden Sie hier.
  • nur eine Diners-Club-card Bereich und eine kleine Marke in China gekauft wurde von UnionPay (ich vergesse den Namen). Die Anzahl der Karten, die nicht-pass ist so klein, ich würde Zustimmen, zu sagen, es ist eine gültige überprüfen. Ich bin nur der Erziehung das mögliche Problem von false positives.
  • und PaulG ist es klingen wie es ist Konsens, dass eine luhn-check failure, wie das, was ich denke, dass ich erlebt habe, ist äußerst unwahrscheinlich. Ich bin wirklich dankbar für all den input von Menschen, die haben das getan, für eine Weile! Es ist leider ein bisschen ein Gespenst jagen, da die Beibehaltung der Kreditkarte zahlen, ist eine große no-no, aber Sie haben mich dazu inspiriert, nehmen Sie einen Blick an, wie ich bin, mit der CreditCardAttribute und der JavaScript, die Sie aussendet. Vielleicht verwende ich es in einer unerwarteten Weise.
  • Gut @PaulG und Ian schaute ich in JavaScript-Validierung wird das Problem aber die CreditCardAttribute emittiert keine. So, dass ist außer Frage. Ich schaute auf die Transaktionen im PayPal-portal und verifiziert, dass der Kunde habe eine Visa-Karte, und es viele Male vor der CreditCardAttribute an Ort und Stelle war und nachdem ich es entfernt.

InformationsquelleAutor Jeremy Cook | 2015-04-27
  1. 4

    Ich denke, der beste Weg dies heraus zu finden ist es einfach testen:

    using System;
using System.Linq;
using System.Text;
using System.IO;

namespace SO
{
    class Program
    {
        static void Main(string[] args)
        {
            string[] cards = new string[] {
                //http://www.paypalobjects.com/en_US/vhelp/paypalmanager_help/credit_card_numbers.htm
                "378282246310005",  //American Express
                "4012888888881881", //Visa
                "6011111111111117", //Discover
                "4222222222222", //Visa
                "76009244561", //Dankort (PBS)
                "5019717010103742", //Dakort (PBS) 
                "6331101999990016", //Switch/Solo (Paymentech)
                "30569309025904", //Diners Club 
                //http://www.getcreditcardnumbers.com/
                "5147004213414803", //Mastercard
                "6011491706918120", //Discover
                "379616680189541", //American Express
                "4916111026621797", //Visa
            };

            foreach (string card in cards)
            {
                Console.WriteLine(IsValid(card));
            }

            Console.ReadLine();
        }

        public static bool IsValid(object value)
        {
            if (value == null)
            {
                return true;
            }

            string ccValue = value as string;
            if (ccValue == null)
            {
                return false;
            }
            ccValue = ccValue.Replace("-", "");
            ccValue = ccValue.Replace(" ", "");

            int checksum = 0;
            bool evenDigit = false;

            //http://www.beachnet.com/~hstiles/cardtype.html
            foreach (char digit in ccValue.Reverse())
            {
                if (digit < '0' || digit > '9')
                {
                    return false;
                }

                int digitValue = (digit - '0') * (evenDigit ? 2 : 1);
                evenDigit = !evenDigit;

                while (digitValue > 0)
                {
                    checksum += digitValue % 10;
                    digitValue /= 10;
                }
            }

            return (checksum % 10) == 0;
        }
    }
}

    Die IsValid-Methode ist von der ursprünglichen C# - CreditCardAttribute Klasse.
    1 von den 12 Nummern ist fehlgeschlagen:

            True
        True
        True
        True
        False //"76009244561", //Dankort (PBS)
        True
        True
        True
        True
        True
        True
        True

    So, sollten Sie es verwenden? Nein, es offensichtlich, erkennt nicht alle zahlen. Obwohl Sie können Ihren code und es verbessern!

    • Sehr schönes nehmen auf dem problem!!! Ich wünschte, es gab mir das Vertrauen, zu verwenden "verbessert" - Validierung. Leider scheint es so zu zeigen, genau das, was ich fürchte. Die Liste der Kreditkarte zahlen scheint unvollständig, da wurde mir gesagt, es war eine Visa-Karte. Ich erwartete eine der nicht Visa. Der Kunde kann falsch gewesen, aber ich bin zweifelhaft, dass. Immer noch scheint es mir, dass mit der credit card validation auf diese Weise ist riskant, selbst wenn Sie eine Menge von gefälschten Kreditkarten-Nummern, um den test durchzuführen. Nachdem alle, Visa konnte die neuen zahlen morgen, dass meine eigene, ganz up-to-date, Validierung fehl.
    • In der Tat, das diskutiert wurde unzählige Male auf der web-nun, die Nutzung der Luhn-Algorithmus ist nicht für alle der bestehenden Kreditkarten. Ich denke, der einzige Weg zu 100% sicher ist, um ihn zu bestätigen, indem Sie tatsächlich die Ausführung der Transaktion.
    • Having said,,, wenn ich gezwungen wurden, zu validieren, in meinem code aus irgendeinem Grund, dass ein unit-test wie dieser ist definitiv der Weg zu gehen. Außerdem würde ich wollen, logging (nicht mit der Kreditkarte zahlen!) aber die Zahl der Validierung fehl, so dass ich möglicherweise in der Lage zu prüfen, ob mein validator produziert falsch-negative Befunde.
    • Ich wünschte, ich hatte gedacht, zu schauen Sie für diejenigen, die credit card validation Diskussionen, bevor die Freigabe meiner app. Ich habe nie erwartet, dass der validator ist zu restriktiv. Ich fürchte, dass ich davon ausgegangen, Microsoft validator konnte vollständig vertraut werden und dass-im schlimmsten Fall-es wäre nicht restriktiv genug. Mein Fehler, nicht getestet. Vielen Dank für den Nachweis, wie gut es tut und nicht mit code!
    • Nicht sicher, wo Sie bekam die Karte zahlen, aber meine AMEX 'EBG' - Dokumentation besagt, dass Amex-Karte zahlen sind immer 15-stellig, beginnend mit 34 oder 37. Es gibt ein Beispiel, '3742 5103 2182 013'.
    • Die links sind in den Kommentaren über die Elemente in dem array. Nur darauf hingewiesen, dass der Microsoft-Artikel ist datiert '04, so habe ich schon entfernt es aus dem code/Ergebnisse als die Karte zahlen, die Sie liefern nicht funktionelle mehr.

    InformationsquelleAutor Jevgeni Geurtsen
  2. 4

    In der code hinter der Kreditkarte Attribut, es ist einfach, die Durchführung einer Luhn überprüfen.

    Alle Zahlungskarten(*) derzeit Folgen ISO/IEC/7812 standard, die einen luhn check digit als die Letzte Ziffer.

    Diese luhn-check wird einfach verwendet, um zu verhindern, dass transpositionale Fehler obwohl. Es ist sinnvoll, da eine Plausibilitätsprüfung vor übermittlung von Kartennummern zu einem payment-gateway, aber nicht geeignet, um absolut überprüfen, ob eine Zahl eine gültige Kreditkarte Zahl.

    Gültige Kartennummer reicht monatlich ändern, und der einzige Weg, um absolut überprüfen, eine Reihe ist zu überprüfen, über ein Zahlungs-gateway. Wenn Sie nur versuchen, zu validieren, eine Karte (anstatt es kostenlos) dieses sollte getan werden, mit einem null-Wert "Berechtigung nur' style-check.

    (*) Die einzige Ausnahme ist eine Karte geben, in China bekannt als China UnionPay

    (In der Vergangenheit gab es auch eine Diners Club 'unterwegs' die Marke wurde im Jahre 1992 zurückgezogen)

    • Würden Sie liefern einige Hinweise darauf, dass unterstützt Ihre Behauptung, dass "alle Zahlungen mit Karten, die sich derzeit Folgen dem Luhn-Algorithmus"? Es scheint, als würde Microsoft hat falsch implementiert einen einfachen und gut bekannten Algorithmus, oder Ihre Behauptung ist falsch.
    • Es ist nichts falsch mit der Microsoft-Implementierung. Es ist eine gültige luhn check-Algorithmus. Wenn Sie allerdings füttern, ungültige Testdaten, erhalten Sie ein ungültiges Testergebnis.. wie erwartet 🙂 Die letzten verbleibenden test Sie haben das nicht pass ist eine 11-stellige Nummer. Dies ist viel zu kurz für eine gültige Kartennummer, die meistens 16 Ziffern minimum. (Format ist in der Regel eine 6-stellige IIN, Letzte Ziffer als Prüfziffer, der Rest als einzigartige Kontonummer). Dies würde bedeuten, dass Dankort-Karte nur 10.000 gültige Konto zahlen? Scheint unwahrscheinlich 🙂
    • Vielleicht bin ich Missverständnis, aber es scheint, dass Sie glauben, dass das problem, das ich angetroffen habe, gibt es nicht. Ich hatte das Glück zu fangen, dieses problem früh 🙂 Von über 20 Kunden bekommen, um die Zahlung Seite, mindestens eine von Ihnen, eine 16-stellige Visa Kartennummer, hing an der CreditCardAttribute Validierung. Nachdem ich entfernt das Attribut der Kunde war in der Lage, um Ihre Zahlung ohne Probleme. Ich verstehe, dass Luhn ist ein standard und glaube auch, dass MS die Umsetzung ist in Ordnung, aber zu finden, dass einer der ersten 20 Kunden hatte ein "non-standard" Kreditkartennummer ist überraschend.
    • Würde ich finde es auch sehr überraschend. Man muss sich das vorstellen (ballparking hier) 80% der online-Händler führen eine luhn-check-Validierung, um die Genehmigung. Also das eine 'gültige' Karte gewesen wäre ungültig, die bei 80% der Läden? Ist das wahrscheinlich, oder ist es wahrscheinlicher, dass jemand einen Tippfehler in der Kreditkartennummer? 🙂 Mir auch vorstellen, dass, wenn Sie haben, entfernen Sie die luhn-check und schickte es für auth war es wahrscheinlich abgelehnt, die von der payment service provider? Wäre die äußerst überrascht, eine Anzahl mit ungültige luhn, die auch autorisiert.
    • Ich könnte falsch sein, aber ich bin mir fast völlig sicher, es war kein Tippfehler. Ich arbeitete mit dem Kunden, und wenn die CreditCardAttribute im Einsatz war, wir konnten nicht beenden Absenden des Formulars durch Validierung. Sobald es entfernt wurde, war die Zahlung autorisiert ist, dann eingefangen, zum Abschluss. Es klingt verrückt, und ich bin auch überrascht. Ich fange an zu Fragen, ob vielleicht die CreditCardAttribute die JavaScript-Validierung könnte der Täter sein. Ich habe nicht gesehen, jeder Kommentar auf seine Gültigkeit und kann nicht sagen, ob es der client-Seite oder server-Seite Kreditkarten-Validierung fehlgeschlagen ist.
    InformationsquelleAutor PaulG
Schreibe einen Kommentar