Защитить get-параметры от подделки
На партнерском сайте пользователь заполняет и отправляет форму с параметрами order, email и amount на сайт оплаты заказа (в order хранится номер заказа).
После успешной или неудачной транзакции сайт оплаты перенаправляет пользователя по ссылке вида: [домен]/result?order=[номер заказа]&status=[success|refusal]. На основании этой ссылки на партнерском сайте заказ отмечается оплаченным или отмененным.
Что в этой логике я делаю не так? Есть ощущение что безопасность тут хромает, так как если пользователь знает номер заказа, то он может вручную через GET запросы отметить заказ как "оплаченный". Как обычно такое делают?
Обычно, в таблицу с заказами, вносится также токен для этого заказа. Генерируется он с нескольких пользовательских параметров. Если клиентская машина не меняется за период оплаты, то ничего не стоит сгенировать тот же токен еще раз.
-
13:29
Кофе для программистов: как напиток влияет на продуктивность кодеров?
-
22:13
Рекламные вывески: как привлечь внимание и увеличить продажи
-
19:13
-
16:04
Стратегії та тренди в SMM - Технології, що формують майбутнє сьогодні
-
17:27
Выделенный сервер, что это, для чего нужен и какие характеристики важны?
-
22:17
-
18:08
Современные решения для бизнеса: как облачные и виртуальные технологии меняют рынок
-
18:54
-
17:35
- Почему SERVER_ADDR имеет не тот IP 47931 visits
- Как заменить $_SERVER[REMOTE_ADDR] на IP клиента в PHP за двумя Nginx? 30568 visits
- Хочу вывести несколько строк из массива в один div, выводит только много undefined; подскажите, что делать? 23913 visits
- Как через css изменить цвет png изображения? 10406 visits
- Blob video url download 10006 visits
- Php curl запрос через прокси с авторизацией 9281 visits
- Работа с captcha vk api 8149 visits
© "hostciti.net" 30.3.2025 | 16:24