Защитить get-параметры от подделки
На партнерском сайте пользователь заполняет и отправляет форму с параметрами order, email и amount на сайт оплаты заказа (в order хранится номер заказа).
После успешной или неудачной транзакции сайт оплаты перенаправляет пользователя по ссылке вида: [домен]/result?order=[номер заказа]&status=[success|refusal]. На основании этой ссылки на партнерском сайте заказ отмечается оплаченным или отмененным.
Что в этой логике я делаю не так? Есть ощущение что безопасность тут хромает, так как если пользователь знает номер заказа, то он может вручную через GET запросы отметить заказ как "оплаченный". Как обычно такое делают?
Обычно, в таблицу с заказами, вносится также токен для этого заказа. Генерируется он с нескольких пользовательских параметров. Если клиентская машина не меняется за период оплаты, то ничего не стоит сгенировать тот же токен еще раз.
-
18:43
Продвижение своими сайтами как стратегия роста и независимости
-
22:46
-
06:18
-
12:23
-
20:41
-
06:31
-
21:28
-
22:18
-
08:00
- Почему SERVER_ADDR имеет не тот IP 50028 visits
- Как заменить $_SERVER[REMOTE_ADDR] на IP клиента в PHP за двумя Nginx? 31915 visits
- Хочу вывести несколько строк из массива в один div, выводит только много undefined; подскажите, что делать? 25986 visits
- Как через css изменить цвет png изображения? 11735 visits
- Blob video url download 11284 visits
- Php curl запрос через прокси с авторизацией 10685 visits
- Работа с captcha vk api 9484 visits
© "hostciti.net" 27.1.2026 | 19:12