Seguridad de tokens de MercadoPago en Hostinger: qué no hacer

Un access token de MercadoPago es información sensible. Si queda en JavaScript, HTML, un repositorio público o un archivo accesible por navegador, cualquiera podría intentar usarlo para consultar información de la cuenta.

Errores comunes

• Poner el token en un archivo `.js`.
• Subir `.env` por FTP y dejarlo navegable.
• Guardar tokens en texto plano sin cifrado.
• Usar una misma credencial para varios locales sin control.

Cómo lo aborda DP Pagos

El token se guarda cifrado en MySQL y se usa solo desde PHP. El navegador llama a una API autenticada que devuelve pagos ya normalizados, nunca el token. Además, `.htaccess` bloquea carpetas y extensiones sensibles.