Как сохранить переменные PayPal в безопасности

Question

Я пытаюсь связать свою стороннюю корзину для покупок с PayPal, и в процессе я обнаруживаю, что мои переменные чрезвычайно уязвимы, так что, если кто-то использует, скажем, Firebug, для манипулирования значениями моих переменных они могут изменить стоимость предметов в транзакции.

Я очень новичок в онлайн-корзинах и покупках, поэтому мой вопрос: как мне скрыть этот слой от пользователей и обеспечить безопасность веб-сайта?

Answer 1

Ответ в сервисе Instant Payment Notification .

По завершении транзакции PayPal в отдельном процессе уведомляет вас о деталях платежа для последней транзакции.

Вы можете сравнить эти данные с данными, которые вы хранили локально. Если они совпадают, все в порядке. Если они не совпадают, вам нужно исследовать проблему.

---

Никогда не понимал, почему PayPal не позволяет подписывать данные каким-либо хешем + общим секретом ... но это вам больше не поможет.

---

Если вы поместите переменные в PayPal, вы можете зашифровать данные. К сожалению, это невозможно для запроса GET, вызванного перенаправлением.

Answer 2

Есть способ заставить PayPal размещать переменные кнопки на их стороне. Обратите внимание на размещенные кнопки PayPal в их документации:

https://cms.paypal.com/uk/cgi-bin/?cmd=_render-content&content_ID=developer/e_howto_api_ButtonMgrAPIIntro#id093VD0JE0Y4

В противном случае проверьте с помощью IPN , как указано выше, Jacco.

Answer 3

Используйте PayPal NVP или SOAP API для создания зашифрованной кнопки. По сути, вы устанавливаете всю информацию с помощью PHP, а затем API предоставляет вам HTML. В качестве альтернативы, если у вас есть только несколько продуктов, вы можете сделать пользовательские кнопки.

API хорошо документированы и просты в использовании. Лично я использовал NVP, как это было рекомендовано для менее опытных программистов. Вы также можете использовать оба в системе IPN (Instant Payment Notification), чтобы, например, цифровые продукты могли автоматически отправляться по электронной почте.