Wenn jemand will Website etwas von mir kaufen, die er ein Formular ausfüllen muss, der eine URL wie diese und die Umleitung zu PayPal schaffe:PayPal; zeigen keine Ordnung Token öffentliche
https://www.paypal.com/cgi-bin/webscr?cmd=_xclick&[email protected]&Product_Number_11&amount=4.20&return=http://www.example.com/product/Product_Number_11/%26payment=success%26order_token=a3f7e6fc6273c368ab374c5152ff2b63&cancel_return=http://www.example.com/error.php
Dadurch werden die Rechnungsdaten übertragen zu PayPal. Wenn die Zahlung erfolgreich ist, wird PayPal zu http://www.example.com/product/Product_Number_11/&payment=success&order_token=a3f7e6fc6273c368ab374c5152ff2b63
umleiten. Das Skript auf meiner Website wird die order_token
erhalten und die Bestellung abschließen, indem Sie das Produkt an den Käufer senden.
Problem ist: Ein Benutzer könnte die Zeichenfolge http://www.example.com/product/Product_Number_11/&payment=success&order_token=a3f7e6fc6273c368ab374c5152ff2b63
kopieren und im Browser manuell aufrufen, ohne bezahlt zu haben.
Was kann ich tun, um dies zu verhindern? Ist PayPal Website-Zertifikat das Richtige?