Je n'arrive pas à trouver comment empêcher les gens d'éditer le montant dans mon panier avec des outils tels que firebug. Comment puis-je m'assurer que les utilisateurs ne peuvent pas modifier le champ caché? Puis-je encoder le montant avant de l'envoyer à paypal?Encodage montant dans le paiement paypal
Merci!
François
D'accord, tournant en réponse ... commentaire
Ne pas encoder le fichier caché! Lorsqu'un client effectue un paiement, PayPal gère la transaction et indique à votre système automatisé qu'il a reçu le paiement. Cela devrait aussi vous dire combien le client vous a payé! Vous comparez ensuite le montant payé avec la facture originale et s'il y a une différence, vous dites simplement à l'utilisateur que le paiement est incomplet. (À moins qu'ils aient payé trop cher, bien sûr.)
Comme Chris Lively vous le dit, ne faites pas confiance au client! Vérifiez toujours le montant qui a été payé. Une fois que vous faites cela, cela n'a pas d'importance si l'utilisateur pirate les champs cachés, puisque vous les vérifiez par la suite.
Si votre sécurité dépend de garder vos utilisateurs loin des champs cachés, votre sécurité va échouer! Votre sécurité devrait dépendre de votre contact avec PayPal directement. Seulement lorsque PayPal confirme le paiement, vous devez envoyer le produit.
Je suis désolé de le dire, mais vous ne pouvez pas empêcher les gens de jongler avec les variables html/post. Un mantra de sécurité commun est "Ne faites pas confiance au client".
Le processus devrait être de renvoyer le client sur votre serveur. Il recalcule les totaux ou n'importe quoi, puis envoie cela à paypal. Évidemment, il devrait y avoir des contrôles de santé mentale comme la prévention des quantités nulles ou négatives; Cependant, le client lui-même ne devrait pas avoir le contrôle des totaux.
Ouais, c'est ce que je fais sur la nouvelle version du site mais je me demandais s'il y avait une solution rapide pour mon système actuel. En tout cas, merci pour la réponse! – Farbour
Merci pour la réponse, BTW ... Savez-vous comment je peux éditer la question ici? J'ai fait une erreur dans le titre de la question et je n'arrive pas à trouver le bouton d'édition. – Farbour
Il devrait y avoir un bouton d'édition juste en dessous de la question. – NotMe
Est-ce important? S'ils s'en sortent et payent moins, vous ne livrez tout simplement pas, puisque le paiement n'est pas complet. Lors de la réception des données de paiement, il vous suffit de vérifier le montant qu'ils ont payé. –
Ouais c'est très important puisque c'est un processus automatisé, j'envoie un lien de téléchargement vers les biens virtuels une fois paypal confirme le paiement. – Farbour
Mais votre système automatisé recevrait des informations sur le montant payé, n'est-ce pas? Donc, il pourrait vérifier cela pour voir si le client a payé le bon montant. –