我是否应该在前几个步骤(验证、评论购买)中使用session，然后在最后提交时将信息输入数据库？Cookie会不会被劫持并变成诉讼？会不会太冒险了？如果存储信用卡号，我是否需要以任何特殊方式保护我的数据库？欢迎提出任何建议和个人经验。 最佳答案 信用卡问题对存储信用卡数据有严格的要求(谷歌“PCICompliance”)。至少有一个支付网关可以让您外包合规事务:http://www.braintreepaymentsolutions.com/我上次查看时，您可以运行初始交易并取回token。该token可用于对卡进行future收费