Ist es sicher, ein benutzerdefiniertes Feld für userId in Paypals Formularen "Jetzt kaufen" zu verwenden?

Question

Wenn ich eine Benachrichtigung über die Zahlung durch IPN erhalte, muss ich wissen, welcher meiner Nutzer es bezahlt hat.

Eine empfohlene Möglichkeit besteht darin, ein verstecktes "benutzerdefiniertes" Feld zum Formular "Jetzt kaufen" hinzuzufügen, das von IPN zurückgegeben wird.

Allerdings denke ich, böswillige Benutzer können davon profitieren. Angenommen, BenutzerA und BenutzerB sind beide Benutzer von SiteC. UserA kennt html, und er macht eine "buy now" -Schaltfläche, kopiert aber, was auf siteC vorhanden ist, und legt das "custom" -Feld als "userA's Id" fest und lässt BenutzerB irgendwie auf diese Schaltfläche klicken.

In diesem Fall, wenn BenutzerB es zahlt, zahlt er nicht für sich selbst, sondern für BenutzerA.

Wie wird dieses Problem gelöst?

Answer 1

Beliebightml<form /> Feld kann trivial manipuliert/manipuliert werden. "Vertrauen Sie nie dem Client" ist die operative Denkweise und erfordert validieren alle Daten an Ihre Anwendung eingereicht, bevor Sie darauf reagieren.

Sie können dieses Feld zum Hashing oder Verschlüsseln der Daten verwenden, die Sie senden/erwarten, und anschließend überprüfen bzw. entschlüsseln, wenn Sie zu Ihrer Anwendung zurückkehren.

Wenn möglich, suchen Sie in options provided by Paypal to secure your payment buttons - so haben Sie nicht, es zu tun yourself..or zumindest nicht "alle" davon ...

HTH ...