Как грамотно передавать значение цены в php?

Question

[ne_pes]

Есть две радио-кнопки с ценой, например одна 12 000р, вторая 5 000р, пользователь выбирает цену которая ему нужна, и нажимает отправить, далее оплачивает. Запрос передается в pay.php. Как грамотно передать цену, чтобы ее нельзя изменить? Я сделал так, что цена берется из input data-price="12000", но так можно поменять код элемента и на обработку передастся ложное значение (если пользователь поменял в коде элемента data-price).

$(".payBtn").click(function(){
		var sumPay = $(".payPrice:checked").data("price");
		$.ajax({
			url: 'pay.php',
			data: {
				'price': sumPay
			},
			success: function(result) {
				alert(result)
			}
		})
	})

Comments

[Владимир]

Сравнивать там откуда берёшь цену. То бишь в файле обработки заказа.

[Artem Ivanov]

цену передавать вовсе необязательно, я бы сказал даже не нужно, её нужно подгружать из id товара и сравнивать 2 числа
то что оплатил покупатель и цену из базы данных
если больше или равно - выдаем товар)

Answer 1

[DevMan]

есть простое правило: данным с клиента доверять нельзя.
на сервере необходимо проверять соответствует ли цена допустимым значениям.

Comments

[ne_pes]

А как проверять-то?

[DevMan]

ne_pes, вы же откуда-то берете значения 12 000 и 5 000. вот с ними и сравниваете.

[ne_pes]

DevMan, цена берется из input data-price="12000", но так можно поменять код элемента и на обработку передастся ложное значение (если пользователь поменял в коде элемента data-price).
Если его поменяют, как я его сравню

[DevMan]

ne_pes, как и откуда в input data-price попадает цифра 12000?

[ne_pes]

DevMan, вручную пишу полю
<input type="radio" data-price="12000">

[Владимир]

ne_pes, очень смешно :)

[Антон Неверов]

ne_pes, ну вот и на бекенде проверяйте вручную. Переданы ли ваши 12 000 или нет.
if ($_POST['price'] == 12000)...

[DevMan]

ne_pes, значит и в проверке вручную пишите 12000.

в реале цены ручками никто не пишет, они прилетают из базы или какого-либо иного источника, и всегда можно заново ее получить и сравнить.

если у вас все так топорно, то добавьте в скрытый инпут хэш и проверяйте его.

[ne_pes]

Владимир, ну а как надо? Можешь показать?

[Владимир]

ne_pes, данные берутся из базы. Потом сравнение с проверкой того что прилетает.

[edward_freedom]

ne_pes, как закончишь сайт, кинь ссылку, закажу ченибудь

Answer 2

[motcart]

Вместо цен в инпутах пиши 1 и 2

<input type="radio" data-price="1">
<input type="radio" data-price="2">

В pay.php проверяй примерно так
if ($_POST['data-price'] == 1) {
Цена 12000
}
if ($_POST['data-price'] == 2) {
Цена 5000
}