Как защитить от смены значение values?

Question

[Dmitry]

Здравствуйте, столкнулся с такой проблемой, пользователи меняют свои значение в форме.
то есть у нас есть форма :<input type="hidden" id="tsena" value="4800">
И после нажатия на submit значение передается на страницу банка(для оплаты).То есть можно просто сменить есть можно просто сменить
<input type="hidden" id="tsena" value="4">
и проплатить 4 вместо 4800.Как можно защитить форму от подмены ?

Comments

[ThunderCat]

В чем собственно проблема? и зачем вы цену передаете?

[Dmitry]

ThunderCat: ну как бы передается на страницу оплаты через post, я туда особо не углублялся

Answer 1

[Site Developer]

Не передавать в открытом виде данные, которые можно подменить.

Передавать ID, а цену и всё прочее вытягивать из БД.

Comments

[Dmitry]

Можно примеры ?

[ThunderCat]

Dmitry: примеры чего?

<input type="hidden" id="id" name="id" value="2545">

? Или код серверной обработки? У вас работает через Ж, вам сказали четко и ясно как должно работать, если вы имеете хоть базовое понятие о программой части этого должно быть достаточно, если нет - нанимайте спеца чтобы поправить проблему. Если штатного нет.

[Site Developer]

Neoline: из формы ненужно ничего передавать и принимать кроме ID, кол-ва и др выбираемых юзером хар-к (ДАННЫХ, которые тоже передать IDшниками) товара. Id- это уникальный идентификатор товара. Все, что ему принадлежит вытягивается из БД и даётся юзеру на оплату. С пред. проверкой им.

Answer 2

[ThunderCat]

беда, если для оплаты вы передаете цену ) через пост передается только ид товара и количество, на сервере уже берется товар из бд и по нему заполняется цена, иначе я у вас там назакупаю мерседесов по 20 копеек )

Answer 3

[entermix]

Правильно будет проверять после оплаты, или сделать так, чтобы пользователь отправлял форму с ID товара на Ваше сайт, на стороне сервера разбираете запрос, устанавливаете все необходимые параметры и отправляете (редирект) пользователя на страницу оплаты

Answer 4

[ozornick]

Кажется многие упускают деталь. Запрос идет банку, то есть доступа к программной части быть не может. Соответственно, с этим ничего не поделать. Например, после оплаты сбербанка перекидывает на страницу подтверждения, где указана сумма платежа. То есть неважно сколько вы введете в скрытое поле, пользователь решает платить или нет.
Я верно понял ситуацию?

Comments

[mletov]

Если даже так, то в API систем оплаты зашивается шифрование типа MD5(цена + ключ + еще что-то)
И если получившаяся строка не совпадает, то платеж отклоняется

[ozornick]

mletov: ну вот вопрос и решен. Хеш отдать в hidden. Нужно подробно изучить api сервиса, чтобы не было вопросов

[mletov]

ozornick: Собственно, к этому и веду)

[ozornick]

mletov: тогда вопрос не в тостер, а к сайту с апи. Не может , что это там не реализовано