我正在尝试将我的第三方购物车链接到PayPal,并且在此过程中我发现我的变量非常暴露,这样,如果有人使用Firebug来操纵我的变量值,他们可以改变交易中物品的成本。
我是网上购物车和购物的新手,所以我的问题是如何让这一层曝光远离用户并保护网站的安全?
答案 0 :(得分:2)
答案在即时付款通知服务中。
完成交易后,PayPal会在单独的流程中通知您最后一笔交易的付款明细。
您可以根据本地存储的数据查看这些详细信息。如果他们匹配,一切都很好。如果它们不匹配,您需要调查此问题。
永远不明白为什么PayPal不允许使用某种哈希+共享密钥签署数据......但这对您没有任何帮助。
如果将变量POST到PayPal,则可以加密数据。不幸的是,对于从重定向触发的GET请求,这是不可能的。
答案 1 :(得分:1)
使用PayPal NVP或SOAP API创建加密按钮。基本上,您使用PHP设置所有信息,然后API为您提供HTML。 或者,如果您只有几种产品,则可以制作自定义按钮。
API已有详细记录且易于使用。就个人而言,我使用NVP,因为它被推荐给经验不足的程序员。您还可以同时使用IPN(即时付款通知)系统,以便例如可以自动通过电子邮件发送数字产品。
答案 2 :(得分:1)
有一种方法可以让PayPal主持按钮变量。在他们的文档中注意PayPal Hosted Buttons:
否则请使用 IPN 进行验证,如Bu Jacco所述。