PHP - Paypal APIフォームとセキュリティ

Question

私は電子商取引アプリケーションでの支払いに標準php paypalフォームを使用しています。

私は、火かき棒だけを持っている人は、「支払い」ボタンで支払いを要求する前に、ペイパルフォームのデータを変更できることに気付きました。

だから私は初心者から支払いを受けることができる「標準」ですか？/？

これを防ぐためにできることはありますか？

Answer 1

実際に支払われたものを確認する必要があるため、セキュリティ上のリスクはありません。誰でも何かにデータを投稿することができます。あなたのフォームやFirebugとはほとんど関係がありません。

このボタン情報はPayPalのサーバーに保存できますが、動的に生成することはできません。ウィザードを使用してボタンコードを作成する場合、このオプションがあります。

Answer 2

私は同意しません。私はそれがあなたが最初に予防すべきものだと思います。購入者が支払う金額は、インターネット上で公開されるべきではありません。私たちがそれを取り除くことができる時間は、長い過去です。

さらに、小切手でも、異なる金額の取引が行われることはありません。それは取引後のドラマを防ぐだけです。
はい、取引が完了した後には必ず小切手を実行するべきですが、誰かが理論的にamountを操作できなくてもそれが起こるはずです。

いくつかのオプションがありますが、あなたは

1. は何もしないとだけ取引後のチェック（例えばIPN付き）を実装し、あなたが最良のあなたの要件に応じて適したものを選択することができます。
   最も簡単です。あなたのPayPalインテグレーションは、コードの観点から見れば目立たず、$ 0.01の不正な取引をすべて受け取ります。

2. ボタンジェネレータの[ホストボタン]オプションを選択し、PayPalのBMUpdateButton APIを使用して、ボタンの量を動的に変更します。
   のようになりますBMUpdateButtonための例の要求は、次のとおりです。

   USER =あなたのAPIのユーザー名を
   PWD =あなたのAPIパスワード
   SIGNATURE =あなたのAPIの署名
   METHOD = BMUpdateButton
   VERSION = 82.0
   HOSTEDUBTTONID =
   の値BUTTONTYPE =ボタンのタイプ。例えば。 BUYNOW
   BUTTONCODE =戻したいコードのタイプ。例えば。あなたとあなたのボタンを作成し、更新するための両方

3. 使用BMCreateButtonとBMUpdateButton APIの両方をご希望の場合は、新しいアイテム名：区切り
   L_BUTTONVAR1 = ITEM_NAME =オプションとして期間と
   L_BUTTONVAR0 =量=新しい金額を開催しましたPayPal。
   BMCreateButton APIを使用して新しいボタンを作成することも、BMButtonSearch APIを使用して、保存されたすべてのホストされたボタンのリストを検索することもできます（たとえば、ボタンのhosted_button_idを自動的に検索するなど）。

4. それはそれは単一のトランザクションのための2-3 APIコールで構成として実装する「最も難しい」かもしれ 代わり
   をPayPalのエクスプレスチェックアウトを実装し、それはまた、最も柔軟です。ウェブサイトペイメントスタンダード（「ボタン」）では、買い手が「今支払う」をクリックするとすぐに取引が確定し、エクスプレスチェックアウトでは買い手はPayPalウェブサイト上の取引に「同意」することができます。購入者が最初にDoExpressCheckoutPayment API呼び出しを呼び出して支払いに同意してから0〜3時間後。エクスプレスチェックアウトを統合する上で簡単に説明するために
   、よく私はあまりにも、それは、大きなセキュリティリスクではないですだけでより快適にするために、あなたは正しいと思うCheckout my order basket with PayPal