Wenn ich eine Benachrichtigung über die Zahlung durch IPN erhalte, muss ich wissen, welcher meiner Nutzer es bezahlt hat.Ist es sicher, ein benutzerdefiniertes Feld für userId in Paypals Formularen "Jetzt kaufen" zu verwenden?
Eine empfohlene Möglichkeit besteht darin, ein verstecktes "benutzerdefiniertes" Feld zum Formular "Jetzt kaufen" hinzuzufügen, das von IPN zurückgegeben wird.
Allerdings denke ich, böswillige Benutzer können davon profitieren. Angenommen, BenutzerA und BenutzerB sind beide Benutzer von SiteC. UserA kennt html, und er macht eine "buy now" -Schaltfläche, kopiert aber, was auf siteC vorhanden ist, und legt das "custom" -Feld als "userA's Id" fest und lässt BenutzerB irgendwie auf diese Schaltfläche klicken.
In diesem Fall, wenn BenutzerB es zahlt, zahlt er nicht für sich selbst, sondern für BenutzerA.
Wie wird dieses Problem gelöst?