在Paypal的“立即购买按钮”表单中使用userId的自定义字段安全吗?
问题描述:
当我通过IPN收到付款通知时,我需要知道哪些用户支付了付款。在Paypal的“立即购买按钮”表单中使用userId的自定义字段安全吗?
推荐的方法是将一个隐藏的“自定义”字段添加到“立即购买按钮”的表单中,该表单将由IPN传回。
但是,我认为恶意用户可以利用它。例如,假设userA和userB都是siteC的用户。 UserA知道html,他做了一个“立即购买按钮”,但复制siteC上的内容,并将“custom”字段设置为“userA's Id”,并以某种方式让用户B单击此按钮。
在这种情况下,当用户B支付它时,他不会为自己付款,而是为用户A.
如何解决这个问题?
答
任何html<form />字段可以平凡操纵/篡改。 “永远不要相信客户”是操作性的思维模式,并且需要验证在对其执行操作之前提交给您的应用程序的任何数据。
您可以考虑使用该字段进行散列或加密发送/预计的数据,并随后在回送到应用程序时进行验证或解密。
如果可行的话,看看options provided by Paypal to secure your payment buttons - 所以你不必做yourself..or至少不是“所有”的吧...
H个...