Как обезопасить оплату через Paypal?

Question

[Ibishka]

<form method="post" action="{$paypal.gate}" id="paypal_form">
    <input type="hidden" name="cmd"             value="_xclick" />
    <input type="hidden" name="business"        value="..." />
    <input type="hidden" name="item_name"       value="..." />
    <input type="hidden" name="item_number"     value="..." />
    <input type="hidden" name="amount"          value="213" />
    <input type="hidden" name="return"          value="..." />
    <input type="hidden" name="cancel_return"   value="..." />
    <input type="hidden" name="notify_url"  value="..." />
    <input type="hidden" name="no_shipping"     value="1" />
    <input type="hidden" name="rm"              value="2" />
</form>

Проблема в том что значение amount из консоли можно изменить и подтвердить оплату. Лоол где же безопасность? Как то можно интегрировать paypal так что amount за просто никто не смог изменить?

Answer 1

[Арсений Матыцин]

Отдавать данные формы бэкендом.

Нет, даже не так. Просто не пытаться все это засунуть в форму, у которой все кишки наружу, а сразу отдавать бэком после, скажем, сабмита со страницы подтверждения заказа. Сумма заказа и прочая информация хранится в бэке (ну или у тебя все швах), следовательно итого можно подвести прямо в бэке и отдать в экшн paypal. Ничего сложного, зато чуть более безопасно.

Comments

[Ibishka]

Арсений Матыцин, Куда отдавать в форму?

[Арсений Матыцин]

Ibishka, в экшн paypal.

Answer 2

[Олег]

Вы не про тот момент думаете.
Пусть переводят сколько и как хотят.
Нужно проверять в момент поступления авизо от платежной системы и по данным от АПИ, а не полученным от клиента.

Answer 3

[Dimonchik]

такие умники - оттрейсить / раскрыть платежку и провести 1 цент - всегда были и есть
примерно как парсеры

в отличие от парсеров с такими очень просто бороться