在Paypal"立即购买按钮"中为userId使用自定义字段是否安全?形式?

时间:2016-05-18 05:23:57

标签: paypal paypal-ipn

当我通过IPN收到付款通知时,我需要知道我的哪些用户付款。

推荐的方法是添加隐藏的"自定义"现场购买按钮"的形式,将由IPN传回。

但是,我认为恶意用户可以利用它。例如,假设userA和userB都是siteC的用户。 UserA知道html,然后他做了一个"立即购买按钮"但是复制siteC上的内容,并设置" custom"字段为" userA' s id"并以某种方式让userB单击此按钮。

在这种情况下,当用户B支付费用时,他并不为自己支付费用,而是支付给用户A.

如何解决这个问题?

1 个答案:

答案 0 :(得分:1)

任何 html <form />字段都可以被轻易操作/篡改。 “永远不要相信客户”是一种有效的思维模式,需要验证在提交给您的应用程序之前提交给您的任何数据。

您可以考虑使用该字段对您发送/期望的数据进行散列或加密,然后在回送到您的应用程序时分别进行验证或解密。

如果可行,请查看options provided by Paypal to secure your payment buttons - 所以你不必自己动手......或者至少不是“全部”...

... H个