 płatności internetowe - podmiana ceny w formularzu ?, czy to bezpieczne? |
| płatności internetowe - podmiana ceny w formularzu ?, czy to bezpieczne? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 6 Pomógł: 0 Dołączył: 2.05.2007 Ostrzeżenie: (0%) 
 |
Witam,
tworzę sklep internetowy i przeglądając zasady działania systemów płatności zdiwił mnei fakt iż wszędzie operacja polega na przesłaniu formularza metodą POST. W przeglądarkach FireFox dostępne są wtyczki umożliwiające wyświetlenie zmiennych POST i podmianę ich zawartości. Dlatego zwracam się z pytaniem, czy np taki "sprrytny" klient nie może przed potwierdzeniem wysłania formularza submitem, podmienić sobie zamówienia za 150zł na np. 130? Prosze o wyjasnienie jak to jest dokladnie? Moze cos zle pojmuje ? Z gory dziekuje za pomoc Pozdrawiam ;] (IMG:http://forum.php.pl/style_emoticons/default/guitar.gif) |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 6 Pomógł: 0 Dołączył: 2.05.2007 Ostrzeżenie: (0%)
|
Rozumiem twoja odpowiedź, jednak jest pewien mankament, albowiem taki formularz wygląda dla platnosci.pl np tak:
<form action="https://www.platnosci.pl/paygw/ISO/NewPayment" method="POST" name="payform"> <input type="hidden" name="pos_id" value="12345"> <input type="hidden" name="session_id" value="1234565"> <input type="hidden" name="amount" value="1000"> <input type="hidden" name="desc" value="Opis płatnosci"> <input type="hidden" name="pay_type" value="t"> <input type="hidden" name="client_ip" value="123.123.123.123"> <input type="hidden" name="js" value="0"> <input type="submit" value="Zapłać poprzez Platnosci.pl"> </form> Jak widać formularz przekierowywany jest do platnosci.pl gdzie nie mamy mozliwosci pobrania i sprawdzenia naszej ceny z bazy, albowiem to nie nasz serwer. Natomiast w pozniejszej odpowiedzi zwrotnej z platnosci.pl ktorej celem jest weryfikacja zakupu nie otrzymujemy wartosci "amount" czyli ceny ktora wyslalismy w 1 zadaniu. Jednymi slowy, klient przed kliknieciem submita "Zapłać poprzez Platnosci.pl", podmieni wartosc amount POSTa i wysle ządanie bezpośrednio do platnosci.pl. Widzialem jeszcze dopisanie po tym formularzu opcji: <script language="JavaScript" type="text/javascript"> <!-- document.forms['payform'].js.value=1; --> </script> jednak nie znam sie za bardzo na JS i moze ktos moglby wyjasnic do czego ten JS sluzy? |
|
|
|
Janoszczak płatności internetowe - podmiana ceny w formularzu ? 20.07.2007, 21:53:19 
Darti Jeżeli jest tak napisany skrypt, że cenę produktu ... 21.07.2007, 00:23:55 PiratNowegoPokolenia poczytaj dokładnie tą dokumentacje techniczną
Wyd... 21.07.2007, 07:57:57 Cysiaczek Ewentualnie spróbuj wysłac skrypt najpierw do sieb... 21.07.2007, 08:02:15 Janoszczak "poczytaj dokładnie tą dokumentacje... 21.07.2007, 16:22:31 jakal Pewnie mój post dużo nie wniesie, ale jestem cieka... 22.07.2007, 12:08:55 konraddo Z tego co wywnioskowalem z dokumentacji to:
Przed ... 27.11.2007, 11:50:29 
Kocurro Sprawdzenie tego czy klient wpłacił odpowiednią su... 27.11.2007, 12:02:49  |
|
Aktualny czas: 13.03.2026 - 05:05 |
