网站上需要用户通过paypal付款,然后对用户进一步操作(增加权限之类)。
是不是大多数付款方式都类似paypal的流程:
1.在自己网站上提交表单到paypal,用户在paypal付款成功之后跳转回网站。
2.根据从paypal跳转回来的结果显示成功与否
3.然后等待paypal发送消息到网站对应接口来确认订单(IPN之类)
在接手的项目中发现,后台仅仅验证了IPN是否是由paypal发送来的(确认了来源及付款状态)。而且在上面第二步中,如果用户跳转回来是成功的话,就直接给用户提升权限了。
如果是这样,如果用户修改了提交到paypal的表单:比如收100块,但是修改成收1块。用户一样能带着paypal成功付款1元的消息回到网站。不就坑爹了?
手头暂时不能做付款整个流程的测试,但是我已经很容易就修改了表单提交到paypal。
所以想问这方面有经验的同学,在收到IPN或成功返回之后,是不是起码该做一个价钱的检查?还应该检查一些什么 呢?
PS:网站是外包团队做的,来谈的人看上去很专业各种计划、时间估算、模块划分,所以好疑惑。
回复讨论(解决方案)
支付成功后平台会通知你的服务器,并给你一个交易码,此时一定要用它再去平台的接口主动发请求验证,此时返回的信息才是可信的
支付成功后平台会通知你的服务器,并给你一个交易码,此时一定要用它再去平台的接口主动发请求验证,此时返回的信息才是可信的
有的返回信息的时候带了一个验证码,用私钥(类似)验证下就可以确保没有问题。
paypal 的验证还算中规中矩,你在收取到所有参数后需要将所有参数都发送回paypal做一个验证,当然如果你的服务器这步也给劫持了.那我想人家也不需要那么麻烦了吧 直接改你数据好了。呵呵
判断 paypal 返回的内容是否是 VERIFIED 再判断返回的卖家邮箱是否是你的帐号,再判断金额是否和你保存在数据库里的金额一致,再判断结果是否 Completed 再执行最后的业务逻辑. 当然你可以先判断是否是 Completed 再判断后面的,但是 订单验证一定是要放在第一步的
做过不下10种国外支付,最麻烦的支付是台湾的,最恶心的是越南的....
paypal 的验证还算中规中矩,你在收取到所有参数后需要将所有参数都发送回paypal做一个验证,当然如果你的服务器这步也给劫持了.那我想人家也不需要那么麻烦了吧 直接改你数据好了。呵呵
判断 paypal 返回的内容是否是 VERIFIED 再判断返回的卖家邮箱是否是你的帐号,再判断金额是否和你保存在数据库里的金额一致,再判断结果是否 Completed 再执行最后的业务逻辑. 当然你可以先判断是否是 Completed 再判断后面的,但是 订单验证一定是要放在第一步的
做过不下10种国外支付,最麻烦的支付是台湾的,最恶心的是越南的....
恩,那就要验证订单金额,这点我想的没错了。周六测试了下,确实可以通过修改form表单达到少付钱的目的。真是坑啊
台湾如何麻烦啦?
越南为啥恶心呢?
paypal 的验证还算中规中矩,你在收取到所有参数后需要将所有参数都发送回paypal做一个验证,当然如果你的服务器这步也给劫持了.那我想人家也不需要那么麻烦了吧 直接改你数据好了。呵呵
判断 paypal 返回的内容是否是 VERIFIED 再判断返回的卖家邮箱是否是你的帐号,再判断金额是否和你保存在数据库里的金额一致,再判断结果是否 Completed 再执行最后的业务逻辑. 当然你可以先判断是否是 Completed 再判断后面的,但是 订单验证一定是要放在第一步的
做过不下10种国外支付,最麻烦的支付是台湾的,最恶心的是越南的....
恩,那就要验证订单金额,这点我想的没错了。周六测试了下,确实可以通过修改form表单达到少付钱的目的。真是坑啊
台湾如何麻烦啦?
越南为啥恶心呢?
说来话长...就不说了.哈哈哈
PHP如何识别用户的会话?May 01, 2025 am 12:23 AMphpientifiesauser'ssessionusessessionSessionCookiesAndSessionIds.1)whiwSession_start()被称为,phpgeneratesainiquesesesessionIdStoredInacookInAcookInamedInAcienamedphpsessidontheuser'sbrowser'sbrowser.2)thisIdAllowSphptptpptpptpptpptortoreTessessionDataAfromtheserverMtheserver。
确保PHP会议的一些最佳实践是什么?May 01, 2025 am 12:22 AMPHP会话的安全可以通过以下措施实现:1.使用session_regenerate_id()在用户登录或重要操作时重新生成会话ID。2.通过HTTPS协议加密传输会话ID。3.使用session_save_path()指定安全目录存储会话数据,并正确设置权限。
PHP会话文件默认存储在哪里?May 01, 2025 am 12:15 AMphpsessionFilesArestoredIntheDirectorySpecifiedBysession.save_path,通常是/tmponunix-likesystemsorc:\ windows \ windows \ temponwindows.tocustomizethis:tocustomizEthis:1)useession_save_save_save_path_path()
您如何从PHP会话中检索数据?May 01, 2025 am 12:11 AMToretrievedatafromaPHPsession,startthesessionwithsession_start()andaccessvariablesinthe$_SESSIONarray.Forexample:1)Startthesession:session_start().2)Retrievedata:$username=$_SESSION['username'];echo"Welcome,".$username;.Sessionsareserver-si
您如何使用会议来实施购物车?May 01, 2025 am 12:10 AM利用会话构建高效购物车系统的步骤包括:1)理解会话的定义与作用,会话是服务器端的存储机制,用于跨请求维护用户状态;2)实现基本的会话管理,如添加商品到购物车;3)扩展到高级用法,支持商品数量管理和删除;4)优化性能和安全性,通过持久化会话数据和使用安全的会话标识符。
crypt()和password_hash()有什么区别?Apr 30, 2025 pm 03:39 PM本文讨论了PHP中的crypt()和password_hash()之间的差异,以进行密码哈希,重点介绍其实施,安全性和对现代Web应用程序的适用性。
如何防止PHP中的跨站点脚本(XSS)?Apr 30, 2025 pm 03:38 PM文章讨论了通过输入验证,输出编码以及使用OWASP ESAPI和HTML净化器之类的工具来防止PHP中的跨站点脚本(XSS)。
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
VSCode Windows 64位 下载
微软推出的免费、功能强大的一款IDE编辑器
SecLists
SecLists是最终安全测试人员的伙伴。它是一个包含各种类型列表的集合,这些列表在安全评估过程中经常使用,都在一个地方。SecLists通过方便地提供安全测试人员可能需要的所有列表,帮助提高安全测试的效率和生产力。列表类型包括用户名、密码、URL、模糊测试有效载荷、敏感数据模式、Web shell等等。测试人员只需将此存储库拉到新的测试机上,他就可以访问到所需的每种类型的列表。
DVWA
Damn Vulnerable Web App (DVWA) 是一个PHP/MySQL的Web应用程序,非常容易受到攻击。它的主要目标是成为安全专业人员在合法环境中测试自己的技能和工具的辅助工具,帮助Web开发人员更好地理解保护Web应用程序的过程,并帮助教师/学生在课堂环境中教授/学习Web应用程序安全。DVWA的目标是通过简单直接的界面练习一些最常见的Web漏洞,难度各不相同。请注意,该软件中
SublimeText3汉化版
中文版,非常好用
安全考试浏览器
Safe Exam Browser是一个安全的浏览器环境,用于安全地进行在线考试。该软件将任何计算机变成一个安全的工作站。它控制对任何实用工具的访问,并防止学生使用未经授权的资源。
