Я смотрю на обработку платежей Moneris и их Прямая почта метод. Для моей жизни я не могу понять, как работает безопасность на ней.Прямая почта Moneris безопасна?
Как лучше всего, как я могу сказать, что это делает это:
- Web Пользователь приходит на мой сайт. Они заполняют информацию о своей кредитной карте (https).
- Я покажу им резюме в форме. Когда они находят подачу, они отправляются в Moneris (POST) - включая мой ID, информацию о кредитной карте и обычай ID транзакции.
- Moneris обрабатывает транзакцию и отправляет ее обратно на мой сайт (в качестве POST)
- Если они прибывают на
failed.php
или по указанному вами адресу, транзакция не удалась. Else: - Если они прибывают на
gotyourmoney.php
, то сделка, казалось бы, сработала. Время проверки. (Входят в POST вары является Unique ID для сделки, штампы даты/времени, RESPONSE_CODE (получили деньги, не получили деньги) и несколько других различных предметов. - перенаправить пользователь обратно на сайте MONERIS с другим POST. Я включаю свой идентификатор снова и Уникальный ID вернулся в шаг 5 проверить сделку.
- Пользователь перенаправляется обратно
gotyourmoney_verified.php
как POST снова с уникальным идентификатором, ID сделки и response_code.
То, что я не могу понять, это:
Нет, где же там, кажется, любой информации, которую я могу подтвердить, что веб-пользователь не может просто сделать. Хотя это https-соединение, я доверяю пользователю передавать всю информацию. Они могли сразу перейти на страницу gotyourmoney.php
и даже не пойти на шлюз платежей moneris. Они могут просто составлять идентификаторы. Когда я отправлю их обратно в moneris для подтверждения транзакции, они снова могут отправить комментарий на мой сайт.
Что мне не хватает?
Спасибо, Джейсон! Вот что я подумал - я просто не мог понять, почему они позволили бы вам так поступать. – user5722