Ankündigung

Einklappen
Keine Ankündigung bisher.

$_post variablen sicher an Paypal übergeben

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • $_post variablen sicher an Paypal übergeben

    Hallo, ich sitze gerade an meiner Internet Seite und versuche PayPal zu integrieren, was auch bis jetzt ganz gut funktioniert.
    Jedoch habe ich gerade festgestellt das man sehr einfach $_post werte mit dem Firefox addon "Temper Data" zu ändern und somit Preis sowie bestell Menge beliebig änderbar sind

    Nun meine Frage: Kann man die $_post werte irgendwie vor Manipulation schützen ?

    MfG Kevin S.


  • #2
    Ich würde eher dahin gehen und sagen, wenn der Kunde nicht das bezahlt, was er bezahlen soll, dann wird die Bestellung nicht automatisch ausgeführt.

    Du kannst PayPal aber auch serverseitig die relevanten Daten geben und Clientseitig nur noch die Legimitation anfordern... (PayPal-Pro)
    Standards - Best Practices - AwesomePHP - Guideline für WebApps

    Kommentar


    • #3
      Das mit den Serverseitigen übertagen der Daten klingt sehr gut und ist wahrscheinlich auch die Lösung

      Habe aber keine anhung wie man das realisiert.

      Kommentar


      • #4
        Wir arbeiten so, dass wir nicht prüfen, was der was an Paypal gesendet wird. Der Kunde könnte manipulieren.

        Unsere Versandhandelssoftware prüft jedoch was an Geld kommt und wenn zu wenig kommt, werden wir benachrichtigt. Der ehrliche Kunde manipuliert da nicht. Und wenn es doch mal vorkommen sollte kriegen wir das mit.

        Ich glaube wenn du via IPN arbeitest, hast du da entsprechend Hash Codes mit drinnen, dass es sicher ist. Aber da ist auch der Aufwand der Programmierung heftiger, deswegen nutzen wir IPN auch nicht mehr.

        Kommentar


        • #5
          Klar manipuliert der ehrliche Benutzer nicht, trotzdem muss man es ja nicht den unehrlichen so einfach machen .

          Würde gerne erfahren wie man die Daten im Hintergrund serverseitig an PayPal übermittelt.

          Ich denke das ich das später überprüfen des Preises und der Bestellmenge auch noch integrieren werde.

          Kommentar


          • #6
            Ich habe z.B. PayPal IPN genutzt. Da bekommst Du ja nach erfolgreicher Zahlung die Daten wieder zurück über. Da prüfe ich ob der Preis etc. das gleiche ist wie vorher, wenn nicht wird PayPal die Zahlung auch nicht Ausführen sowie natürlich im Shop eine Fehlermeldung erscheinen.

            Edit: Ah Soory PayPal wird die Zahlung ausführen, jedoch wird im Shop ersichtlich das die Daten manipuliert wurden.

            Kommentar


            • #7
              Ich bin am Überlegen ob das der richtige Weg ist.
              Wie du schon meintest kann man im Nachhinein Menge und Geldbetrag überprüfen und mit den Datensätzen der Datenbank vergleichen und bei einem nicht übereinstimmen den Benutzer eine Fehlermeldung zurückgeben und die Dienstleistung verwehren.

              Man könnte ganz klar die Folgen von Missbrauch und Betrug in die AGB's schreiben und sich so Absichern.

              Kommentar


              • #8
                Bei IPN brauchst du dir da überhaupt keine Gedanken dazu machen, da der Benutzer zu keinem Zeitpunkt die Möglichkeit hat, die Daten zu ändern - sofern dein Shop keine Lücken aufweist.
                Der Kunde klickt im Shop auf "Jetzt bezahlen", dein Server wertet die Bestelldaten aus und sendet sie direkt an Paypal, von dort kommt eine Weiterleitungs-URL, die du an den Browser weitergibst, der Kunde sieht nur noch die Zusammenfassung, bestätigt die Zahlung und wird zurück zum Shop geleitet.

                Wer das Prozedere als "heftigen Aufwand" ansieht hat wohl noch nie an wirklich großen und heftigen Projekten gearbeitet.
                Zumal es dafür massig Beispielimplementierungen in PHP gibt, unter anderem auch direkt von Paypal.
                VokeIT GmbH & Co. KG - VokeIT-oss @ github

                Kommentar


                • #9
                  Entschuldigung bitte korrigiere mich wenn ich falsch lieg.
                  Wenn ich IPN verwende muss ich PayPal per $_GET oder $_POST die Daten zukommen lassen, diese ich nur mit einem Button abschicken kann in diesem Fall angenommen z.B "Kaufen" so sieht doch der Benutzer im Quelltext dass das Formular 'hidden' Felder besitzt in denen sich die Daten befinden die an PayPal gesendet werden.

                  Oder irre ich mich da ?

                  Kommentar


                  • #10
                    Nein, da liegst du vollkommen falsch.
                    Das ist Server2Server-Kommunikation und die sieht der Benutzer/Browser nunmal nicht.
                    Schau dir doch einfach mal die Doku zu IPN an anstatt ewig rumzurätseln und falsche Schlüsse zu ziehen.
                    Oder beauftrage einfach "jemanden" (ich wüsste da, wen ) der das für dich implementiert.
                    VokeIT GmbH & Co. KG - VokeIT-oss @ github

                    Kommentar


                    • #11
                      okay
                      Was würde denn der für das implementieren verlangen ?

                      Kommentar


                      • #12
                        Das hängt ganz vom derzeitigen System ab, wird hier aber nicht öffentlich besprochen.
                        Meine Kontaktdaten findest du, wenn du dem Link in meiner Signatur folgst.
                        VokeIT GmbH & Co. KG - VokeIT-oss @ github

                        Kommentar


                        • #13
                          Zitat von vsl Beitrag anzeigen
                          Nun meine Frage: Kann man die $_post werte irgendwie vor Manipulation schützen ?
                          Fraud management filter
                          https://developer.paypal.com/webapps...-guide/IPNFMF/
                          Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.

                          Kommentar


                          • #14
                            Auf diesen Filter bin ich auch gestoßen jedoch schicke ich die Filtereinstellungen auch per $_post und kann diese wieder sehr leicht ändern

                            Kommentar

                            Lädt...
                            X