当我通过IPN收到付款通知时,我需要知道我的哪些用户付款了。
建议的方法是在"立即购买按钮"的表单中添加一个隐藏的"自定义"字段,该字段将由IPN传递回。
然而,我认为恶意用户可以利用它。例如,假设用户A和用户B都是站点C的用户。用户A知道html,他制作了一个"立即购买按钮",但复制了网站C上的内容,并将"自定义"字段设置为"用户A的Id",然后让用户B点击这个按钮。
在这种情况下,当用户B付款时,他不是为自己付款,而是为用户A付款。
如何解决这个问题?
任何html <form />字段都可以被简单地操纵/篡改"永远不要信任客户"是一种操作心态,需要在执行之前验证提交给您的应用程序的任何数据。
您可以考虑使用该字段对发送/期望的数据进行哈希或加密,然后在返回到应用程序时分别进行验证或解密。
如果可行,请查看Paypal提供的选项,以确保您的支付按钮安全,这样您就不必自己动手了。。或者至少不是"全部"…
Hth。。。