Цены берутся из поля или базы данных?

Question

[Programmir]

Сейчас кое с чем работаю. И там ценник берется из get или post параметра и потом идёт оплата. Это же выходит, что пользователь может ввести в браузере любые данные и оплатит любую сумму. Как в таких случаях вообще поступают? Оставляют всё как есть, это типа потребитель виноват, что недобросовестно поступил? Или берут ценники из базы данных?

Answer 1

[Dr. Bacon]

Весь пользовательский ввод всегда надо проверять, ну и конечно цены берут из базы.

Comments

[Programmir]

там же получается, что в поле input, допустим, можно поменять значение и отправить так. это получается, что в сессии надо данные сохранять?

[Dr. Bacon]

Programmir, вся информация в базе, с клиента приходит id товара, корзины, ордера или еще чего, не важно.

[Programmir]

Dr. Bacon, вот, допустим, есть таблица, где указана итоговая цена. Пользователь же может поправить hmtl в браузере и указать свою цену и после этого заказать. То есть, мы не ориентируемся на эту цифру в таблице? А берез из базы данных?

[Dr. Bacon]

Programmir, ну блин, логично же, что пользователь может исправить данные. Обычно из базы берут реальные, либо можно подписать определенный набор данных, так обычно делают при передачи подобных данных в платежные системы