我正在使用一些带有 PHP 的支付网关,并在其中的文档中:<form accept-charset="UTF-8" action="https://api.linkToPaymentGateway.com/v1/payments.html" method="POST"> <input type="hidden" name="description" value="Order id 1234 by guest" /> <input type="hidden" name="amount" value="10000" /> <!-- and some input's for the card information with type="text" --> <button type="submit">Purchase</button></form>我的问题是:如何保护提交的金额和描述?我应该更改操作并使用 cURL 发送 api 吗?谢谢。
1 回答
慕运维8079593
TA贡献1876条经验 获得超5个赞
您不能信任表单中金额字段的隐藏输入。任何对 html 和开发工具有一定了解的人都可以轻松地将其更改为任意数量。
可能有很多解决方法可以解决这个问题。喜欢
您应该将表单数据发送到您的服务器并再次计算金额并调用网关api。
仅当您的 api 网关具有回调选项时,才信任此处的用户。在回电中,您可以检查收取的金额,并在更新订单之前确保金额正确。
- 1 回答
- 0 关注
- 90 浏览
添加回答
举报
0/150
提交
取消