我想建立一个慈善网站,唯一的选择是使用PayPal处理付款。我正在尝试这样做,以便用户可以在我的网站上有一个输入字段,他们可以在其中决定捐赠多少,但我怀疑这是否会打开许多安全漏洞,例如有人篡改用户输入的金额。拥有托管按钮,您不能在您的网站上询问用户他们想要提供的金额,而是在PayPals付款表单上输入。
那么,让用户在用户单击捐赠按钮时出现的付款表单中输入他们希望捐赠的金额会更安全吗?如果我想确保PayPal表格中的"业务"和"金额"等变量没有被篡改,我该如何确保我的网站的安全性?
是否可以更改表单"action"值以指向一个函数,我可以在其中过滤变量并进行检查,然后将值发送到PayPal(我正在使用 PHP/CodeIgniter)?
从PayPal支付的角度来看,使用无担保的<form>元素作为捐赠按钮没有问题。
是的,这意味着客户可以修改表格的amount和business,但这并不重要,考虑到您希望他们无论如何都能够修改金额。
如果有人改变business;这仅适用于他们的捐赠。所以那里也没有问题。
您唯一想要保护的是您的后端/源文件,以防止有人永久更改business以指向其他帐户。