我正在尝试将我的第 3 方购物车链接到 PayPal,在此过程中我发现我的变量非常暴露,因此,如果有人使用 Firebug 来操纵我的变量的值,他们可以改变交易中物品的成本。
我对在线购物车和购物非常陌生,所以我的问题是如何使这一层远离用户并保护网站的安全?
【问题讨论】:
标签: php html forms scripting paypal
答案就在即时付款通知服务中。
完成交易后,PayPal 会在单独的流程中通知您最后一笔交易的付款详情。
您可以对照您在本地存储的数据检查这些详细信息。如果他们匹配,一切都很好。如果它们不匹配,您将需要调查问题。
一直不明白为什么 PayPal 不允许使用某种哈希 + 共享密钥对数据进行签名...但这对您没有任何帮助。
如果您将变量发布到 PayPal,您可以加密数据。不幸的是,这对于由重定向触发的 GET 请求是不可能的。
【讨论】:
_s-xclick 来表示安全点击,但加密数据数组您发送的变量带有_cart 及其相关的购物车数据集。
有一种方法可以让 PayPal 在他们这边托管按钮变量。在他们的文档中寻找 PayPal Hosted Buttons:
否则,如 Jacco 所述,使用 IPN 进行验证。
【讨论】:
使用 PayPal NVP 或 SOAP API 创建加密按钮。基本上,您使用 PHP 设置所有信息,然后 API 为您提供 HTML。 或者,如果您只有几个产品,您可以制作自定义按钮。
API 文档齐全且易于使用。我个人使用 NVP,因为它被推荐给经验不足的程序员。您还可以将两者与 IPN(即时付款通知)系统一起使用,以便可以自动通过电子邮件发送数字产品。
【讨论】: