Страница пожертвования с чувствительными скрытыми полями

Question

Я волонтер для некоммерческой помощи, помогая с материалами сайта.Я дизайнер со знанием HTML, но мой опыт программирования практически отсутствует, поэтому мне жаль, если это элементарно.

Я создал HTML-форму, которую посетители могут использовать для пожертвования денег с кредитной карты.Это сообщение непосредственно продавцу 1.

Для аутентификации нашей учетной записи необходимо указать два элемента, которые скрыты в форме.Форма отлично работает, размещает платеж без проблем, но есть проблема.Я могу просматривать исходные тексты и получать доступ к скрытым элементам, таким образом раскрывая информацию о нашей учетной записи любому, кто достаточно любопытен, чтобы посмотреть.

Я провел некоторый поиск, но мое отсутствие программирования является проблемой.Я понимаю, что могу использовать cURL для публикации элементов, но я не знаю, как приклеить мою HTML-форму к скрытым элементам до ее публикации.

Answer 1

Что вы хотите сделать, так это поместить конфиденциальную информацию на стороне сервера, где обрабатывается форма, и никто другой не может ее увидеть (т.е. как переменные в вашем php-скрипте).DOM очень легко просматривается и редактируется любым, кто заходит на эту страницу.

Если вы ищете решение для этого, возможно, вы захотите опубликовать часть своего кода обработки (конечно, с запутанными данными) в другом вопросе.Сотрудники SO смогут помочь вам найти способ защитить ваши данные.

Answer 2

Если платежная система требует такие скрытые поля, ну, они должны быть там, чтобы их можно было отправлять на их сервер из браузера. Тогда нет смысла отправлять их с сервера, поскольку они используются для определения того, кто должен получить пожертвование после того, как пользователь введет данные своей кредитной карты на защищенном сервере банка.

Номер вашего банковского счета является конфиденциальной информацией. Ваш ассоциированный номер не.

Answer 3

Вам необходимо иметь одно скрытое поле для «ключа» сеанса, а остальные просто хранить не в скрытых полях, а где-то за пределами HTML (например, в базе данных) и связать его с ключом сеанса с помощью кода на стороне сервера.(PHP в этом случае).В противном случае пользователь может видеть все, что вы публикуете.