У меня возникли проблемы с выяснением того, как запретить людям редактировать сумму в моей корзине с помощью таких инструментов, как firebug. Как я могу убедиться, что пользователи не могут редактировать скрытое поле? Могу ли я закодировать сумму перед отправкой ее на paypal?Кодировка суммы в оплате Paypal
Спасибо!
Франсуа
Хорошо, поворачиваясь комментарий в ответ ...
Не кодировать скрытый файл! Когда клиент производит платеж, PayPal будет обрабатывать транзакцию и сообщать вашей автоматизированной системе, что она получила платеж. Он также должен сказать вам, сколько клиент заплатил вам! Затем вы сравниваете сумму, уплаченную с оригинальным счетом, и если есть разница, вы просто говорите пользователю, что платеж является неполным. (Если они не заплатили слишком много, конечно.)
Как говорит Крис Лайвли, не доверяйте клиенту! Всегда проверяйте сумму, которая была оплачена. Как только вы это сделаете, не имеет значения, взломает ли пользователь какие-либо скрытые поля, так как после этого вы его проверяете.
Если ваша безопасность зависит от удержания ваших пользователей от скрытых полей, ваша безопасность не удастся! Ваша безопасность должна зависеть от вашего контакта с PayPal напрямую. Только когда PayPal подтверждает платеж, вы должны отправить продукт.
Мне жаль говорить, но вы не можете помешать людям возиться с HTML/почтовых переменных. Одна общая мантра безопасности - «Не доверяйте клиенту».
Процесс должен состоять в том, чтобы клиент отправил обратно на ваш сервер. Он пересчитывает итоги или что-то еще, а затем посылает их на paypal. Очевидно, должны быть какие-то проверки здравомыслия, такие как предотвращение нулевого или отрицательного количества; однако сам клиент НЕ должен иметь контроль над итогами.
Да, это то, что я делаю в новой версии сайта, но мне было интересно, есть ли быстрое исправление для моей текущей системы. Во всяком случае, спасибо за ответ! – Farbour
Спасибо за ответ, кстати ... Знаете ли вы, как я могу редактировать вопрос здесь? Я ошибся в заголовке вопроса и не могу найти, где находится кнопка редактирования. – Farbour
Должна быть кнопка редактирования чуть ниже вопроса. – NotMe
Это важно? Если они обойдутся и заплатят меньше, вы просто не доставляете, так как оплата не завершена. При получении данных о платеже вы просто проверяете сумму, которую они заплатили. –
Да, это очень важно, так как это автоматический процесс, я отправляю ссылку на скачивание виртуальных товаров, как только paypal подтвердит платеж. – Farbour
Но ваша автоматическая система получит информацию о сумме уплаченной суммы, не так ли? Таким образом, он может проверить это, чтобы узнать, заплатил ли клиент правильную сумму. –