 płatności internetowe - podmiana ceny w formularzu ?, czy to bezpieczne? |
| płatności internetowe - podmiana ceny w formularzu ?, czy to bezpieczne? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 6 Pomógł: 0 Dołączył: 2.05.2007 Ostrzeżenie: (0%) 
 |
Witam,
tworzę sklep internetowy i przeglądając zasady działania systemów płatności zdiwił mnei fakt iż wszędzie operacja polega na przesłaniu formularza metodą POST. W przeglądarkach FireFox dostępne są wtyczki umożliwiające wyświetlenie zmiennych POST i podmianę ich zawartości. Dlatego zwracam się z pytaniem, czy np taki "sprrytny" klient nie może przed potwierdzeniem wysłania formularza submitem, podmienić sobie zamówienia za 150zł na np. 130? Prosze o wyjasnienie jak to jest dokladnie? Moze cos zle pojmuje ? Z gory dziekuje za pomoc Pozdrawiam ;] (IMG:http://forum.php.pl/style_emoticons/default/guitar.gif) |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 6 Pomógł: 0 Dołączył: 2.05.2007 Ostrzeżenie: (0%)
|
"poczytaj dokładnie tą dokumentacje techniczną
Wydaje mi się że użytkownik może wpłacić dowolną kwotę. Twój sklep musi pobrać informacje o transakcji jeśli się odbyła (3.7.2.), sprawdzić czy wpłacono odpowiednią kwotę i oznaczyć sobie jako transakcje dokonaną." Otoz wlasnie platnosci.pl zwracja na podany url tylko: pos id - identyfikator Punktu Płatności session_id - wartość podana przez Sklep w trakcie tworzenia nowej transakcji ts - znacznik czasowy, wartość potrzebna w celu weryfikacji podpisu (czas w formacie UNIX TIMESTAMP) sig - podpis przesłanej informacji - patrz punkt 3.4 Dokumentacji technicznej Nie widzę tutaj żadnej informacji i kwocie jaką przeslana zostala w 1 formularzu. Więc jak to sprawdzić? Jedynym sensownym rozwiązaniem byłoby przesłanie formularza nie do platnosci.pl lecz do swojego skryptu, ktory z sesji odczytalby czy uprzednio zapisana wartosc zamowienia pokrywa sie z ta z formularza, a nastepnie automatycznie przeslal formularz dalej do platnosci.pl. Jednak jak utworzyc formularz bez pola submit i spowodowac aby byl przesylany automatycznie pod wskazany url? Moze przedstawie to w krokach: 1) user w koszyku klika zamow 2) skrypt oblicza koncowa wartosc zamowienia, zapisuje sa w sesji i tworzy formularz taki jak w platnosciach lecz a innym urlem (naszego innego skryptu) 3) nasz skrypt sprawdza wartosc kwoty (czy ta z sesji pokrywa sie z ta z formularza) if (tak) -> automatycznie wysyla forma juz pod prawidlowy adres platnosci.pl if(NIE) -> wyswietla userowi informacje ze wystapil blad bo kwota sie nie zgadza i zeby user sobie w kulki nie lecial nastepnym razem bo jestesmy super pro hackers i nie z nami takie numery (IMG:http://forum.php.pl/style_emoticons/default/aaevil.gif) (chyba mnie ponioslo) ;] 4) dalej tranzakcja przebiega normalnie Co o tym myslicie? Chyba dobre rozwiazanie? Tylko jak spostowac dane automatycznie ;] PS. A co do Curla to jest to pomysl, jednak wolalbym go obejsc ;] Pozdrawiam i dziekuje za kolejne komentarze ;] Ten post edytował Janoszczak 21.07.2007, 16:22:44 |
|
|
|
Janoszczak płatności internetowe - podmiana ceny w formularzu ? 20.07.2007, 21:53:19 
Darti Jeżeli jest tak napisany skrypt, że cenę produktu ... 21.07.2007, 00:23:55 Janoszczak Rozumiem twoja odpowiedź, jednak jest pewien manka... 21.07.2007, 07:06:14 PiratNowegoPokolenia poczytaj dokładnie tą dokumentacje techniczną
Wyd... 21.07.2007, 07:57:57 Cysiaczek Ewentualnie spróbuj wysłac skrypt najpierw do sieb... 21.07.2007, 08:02:15 jakal Pewnie mój post dużo nie wniesie, ale jestem cieka... 22.07.2007, 12:08:55 konraddo Z tego co wywnioskowalem z dokumentacji to:
Przed ... 27.11.2007, 11:50:29 
Kocurro Sprawdzenie tego czy klient wpłacił odpowiednią su... 27.11.2007, 12:02:49  |
|
Aktualny czas: 13.03.2026 - 06:11 |
