Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> płatności internetowe - podmiana ceny w formularzu ?, czy to bezpieczne?
Janoszczak
post
Post #1





Grupa: Zarejestrowani
Postów: 6
Pomógł: 0
Dołączył: 2.05.2007

Ostrzeżenie: (0%)
-----

Witam,

tworzę sklep internetowy i przeglądając zasady działania systemów płatności zdiwił mnei fakt iż wszędzie operacja polega na przesłaniu formularza metodą POST. W przeglądarkach FireFox dostępne są wtyczki umożliwiające wyświetlenie zmiennych POST i podmianę ich zawartości. Dlatego zwracam się z pytaniem, czy np taki "sprrytny" klient nie może przed potwierdzeniem wysłania formularza submitem, podmienić sobie zamówienia za 150zł na np. 130?

Prosze o wyjasnienie jak to jest dokladnie? Moze cos zle pojmuje ?

Z gory dziekuje za pomoc

Pozdrawiam ;] (IMG:http://forum.php.pl/style_emoticons/default/guitar.gif)
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
konraddo
post
Post #2





Grupa: Zarejestrowani
Postów: 42
Pomógł: 1
Dołączył: 9.01.2007
Skąd: Sejny/Elbląg

Ostrzeżenie: (0%)
-----

Z tego co wywnioskowalem z dokumentacji to:
Przed wysłaniem do płatnosci.pl ustalasz wlasny session_id, ktory razem z innymi danymi zwiazanymi z transakcja zapisujesz w bazie (np. na stronie podsumowania), gdzie na dole zamieszczasz ten formularz:
[HTML] pobierz, plaintext 
  1. <form action="https://www.platnosci.pl/paygw/ISO/NewPayment"
  2. method="POST" name="payform">
  3. <input type="hidden" name="pos_id" value="12345">
  4. <input type="hidden" name="session_id" value="1234565">
  5. <input type="hidden" name="amount" value="1000">
  6. <input type="hidden" name="desc" value="Opis płatnosci">
  7. <input type="hidden" name="pay_type" value="t">
  8. <input type="hidden" name="client_ip" value="123.123.123.123">
  9. <input type="hidden" name="js" value="0">
  10. <input type="submit" value="Zapłać poprzez Platnosci.pl">
  11. </form>
[HTML] pobierz, plaintext

potem kiedy platnosci.pl zwroci ci dane:
pos id - identyfikator Punktu Płatności
session_id - wartość podana przez Sklep w trakcie tworzenia nowej transakcji
ts - znacznik czasowy, wartość potrzebna w celu weryfikacji podpisu (czas w formacie UNIX TIMESTAMP)
sig - podpis przesłanej informacji - patrz punkt 3.4 Dokumentacji technicznej

sprawdzasz za pomocą session_id oraz danych transakcji w bazie, ktore wczesniej tam umiesciles czy dane są poprawne
jesli nie anulujesz transakcje, jak to jest napisane w dokumentacji:
W celu anulowania lub odrzucenia płatnosci wywołujemy procedure Payment/cancel.

ale jak to sie robi to dokładnie to nie wiem

Ten post edytował konraddo 27.11.2007, 11:53:48
Go to the top of the page
+Quote Post

Posty w temacie
- Janoszczak   płatności internetowe - podmiana ceny w formularzu ?   20.07.2007, 21:53:19
- - Darti   Jeżeli jest tak napisany skrypt, że cenę produktu ...   21.07.2007, 00:23:55
- - Janoszczak   Rozumiem twoja odpowiedź, jednak jest pewien manka...   21.07.2007, 07:06:14
- - PiratNowegoPokolenia   poczytaj dokładnie tą dokumentacje techniczną Wyd...   21.07.2007, 07:57:57
- - Cysiaczek   Ewentualnie spróbuj wysłac skrypt najpierw do sieb...   21.07.2007, 08:02:15
- - Janoszczak   "poczytaj dokładnie tą dokumentacje...   21.07.2007, 16:22:31
- - jakal   Pewnie mój post dużo nie wniesie, ale jestem cieka...   22.07.2007, 12:08:55
- - konraddo   Z tego co wywnioskowalem z dokumentacji to: Przed ...   27.11.2007, 11:50:29
- - Kocurro   Sprawdzenie tego czy klient wpłacił odpowiednią su...   27.11.2007, 12:02:49

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 13.03.2026 - 06:11
Powered By IP.Board © 2026  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn