我想建立一个慈善网站,唯一的选择是使用PayPal处理付款。我试图让它成为用户可以在我的网站上有一个输入字段,他们决定捐赠多少,但我怀疑是否会打开许多安全漏洞,如有人篡改输入的数量由用户。有了托管按钮,您无法向您网站上的用户询问他们想要提供的金额,而是通过PayPals付款表单输入。
因此,当用户点击捐赠按钮时,让用户输入他们希望捐赠的金额会更安全吗?如果我想确保PayPal表单中没有篡改变量,例如“业务”和“金额”,我怎样才能确保我网站的安全性?
是否可以将表单'action'值更改为指向我可以过滤变量并进行检查然后将值发送到PayPal(我使用PHP / CodeIgniter)的函数?
答案 0 :(得分:0)
从PayPal付款的角度来看,使用不安全的<form>元素进行捐赠按钮没有问题。
是的,这意味着客户可以修改表单的amount和business,但这无关紧要,考虑到您希望他们能够修改数量。
如果有人更改了business;这仅适用于他们的捐赠。所以那里也没有问题。
要保护的唯一内容是您的后端/源文件,以防止某人永久更改business指向其他帐户。