Защита сайта от подмены полей воода. Как реализовать?

Question

[yeven]

Доброго времени суток. Есть поля ввода на сайте, которые проверяются только средствами JS и после очищаются фильтрами в скрипте PHP, но ведь почти все знают, что POST запрос можно отправить не только нажав на кнопочку сабмит :) Самый важный момент для меня это подмена цены и кол-ва предметов. То есть злоумышленник, или халявщик может отправить скрипту 1000 айтемов по цене 1 копейка и скрипт скушает это дело, глазом не мигнув, переадресуя его на страницу оплаты. Как быть? Простые способы реализации есть?

Answer 1

[Владимир Мартьянов]

Главное правило: не доверяйте юзерским данным. На сервере получайте по ID товара цену и иную нужную информацию.

Answer 2

[Котик Антон]

Самый важный момент для меня это подмена цены и кол-ва предметов

Цена товара не должна передаваться в форме. У вас же не пользователь решает, сколько будет стоить товар?

CSRF

Comments

[yeven]

Пользователь вводит цену -> получает кол-во предметов. Вводит кол-во предметов -> получает цену. Но идея Ваша понятна, не доверять цене, которая приходит с формы ввода.

[Roman K]

yeven: Только скорее так: пользователь вводит стоимость (а не цену) - получает кол-во. И именно кол-во отправляется в запросе.

[Котик Антон]

yeven:

Пользователь вводит цену -> получает кол-во предметов.

Это какое-то ноу-хау в UI интернет-магазинов, или я просто отстал от жизни? Но даже если так, то на сервер всё равно отправляете только количество и, как вам правильно написали, id товара, а стоимость пересчитываете уже на сервере.

Но идея Ваша понятна, не доверять цене, которая приходит с формы ввода

Не просто не доверять, её даже отправлять не нужно, только id и кол-во.