xristos05 Δημοσ. 28 Μαΐου 2011 Δημοσ. 28 Μαΐου 2011 Καλημέρα θα ήθελα μια βοήθεια σχετικά με θέματα ασφαλείας. Εχω φτιάξει ενα eshop που το προιόν που πουλάει ειναι σε ηλεκτρονική μορφή, οπότε αφού πληρώσει ο user θα πρέπει να μπορεί να κατεβάσει αυτό που αγόρασε. Κατα συνέπεια δε μπορεί καποιος διαχειριστής να ελεγξει αν εγινε η "σώστη" πληρωμή. Αναλυτικότερα στη φορμα που εχω το κουμπακι για paypal εχω και ενα input "amount" το ποσό που θα πρέπει να πληρώσει ο user. Πριν την εμφάνιση της φόρμας αποθηκεύω στη βάση μου το ποσό, ας πουμε ενα 40ευρο. Αν καποιος ποιο "εξελιγμένος" παει και μου αλλάξει το ποσο απο 40 σε 5 (ακομα και με το firebug μπορει να γινει), στέλνω το χρήστη στη σελ της paypal πληρώνει 5 ευρό και του κανει redirect στη σελ. μου. Το προβλημα μου ειναι το εξης πως εγω θα ξερω οτι δεν αλλαζει το url που επιστρεφει το paypal και στο ποσο που πληρωσε δε ξαναβαλει 40 ευρο ... οποτε και με ξεγελαει στον ελεγχο που θα κανω με την τιμή που ειχα αποθηκευσει στην βαση. Το paypal μου στελνει τα δεδομενα με get αρα φαινεται το url. Βεβαια με ενα redirect απο την σελ που θα ερθει απο το paypal σε μια αλλη σελ δικη μου μειώνω το χρονο εμφάνισης του url στον browser αλλα θεωρω οτι ειναι λαθος τεχνική... Θα μπορουσα να ειχα τα φωτα οσων εχουν γνώση επι του θέματος? Ευχαριστω
Themis-T Δημοσ. 28 Μαΐου 2011 Δημοσ. 28 Μαΐου 2011 ...παει και μου αλλάξει το ποσο απο 40 σε 5 (ακομα και με το firebug μπορει να γινει)... Το έχεις δοκιμάσει ή υποθέτεις;
xristos05 Δημοσ. 28 Μαΐου 2011 Μέλος Δημοσ. 28 Μαΐου 2011 Το έχεις δοκιμάσει ή υποθέτεις; εννοειται πως το δοκιμασα
PCharon Δημοσ. 28 Μαΐου 2011 Δημοσ. 28 Μαΐου 2011 Αναλυτικότερα στη φορμα που εχω το κουμπακι για paypal εχω και ενα input "amount" το ποσό που θα πρέπει να πληρώσει ο user. Πριν την εμφάνιση της φόρμας αποθηκεύω στη βάση μου το ποσό, ας πουμε ενα 40ευρο. Αν καποιος ποιο "εξελιγμένος" παει και μου αλλάξει το ποσο απο 40 σε 5 Είναι όντως λάθος τεχνική. Αν θες να γίνεται άμεσα η πληρωμή, χωρίς ανταλλαγή invoice με email, τότε χρησιμοπoιείς την υπηρεσία express checkout: https://merchant.paypal.com/cgi-bin/marketingweb?cmd=_render-content&content_ID=merchant/express_checkout&nav=2.1.5 (πάτα στο How It Works από κάτω να δεις, στη πράξη μπορείς να πας πχ στο dealextreme.com να βάλεις ένα τυχαίο προϊόν στο καλάθι και μόλις πατήσεις γι αγορά παρατήρησε πώς μεταφέρεται το session στο paypal) Στο ίδιο link πάνω που γράφει "Business > Products & Services" βλέπεις τους διαθέσιμους τρόπους για τέτοιες φάσεις.
xristos05 Δημοσ. 29 Μαΐου 2011 Μέλος Δημοσ. 29 Μαΐου 2011 .... dealextreme.com να βάλεις ένα τυχαίο προϊόν στο καλάθι και μόλις πατήσεις γι αγορά παρατήρησε πώς μεταφέρεται το session στο paypal) και παλι δε το καταλαβα και πολυ καλα ... εβαλα ενα προιον με πηγε στη σελ του paypal και επρεπε να πληρωσω ... ετσι γινεται και με το κουμπι που εχω και εγω απλα ειναι ενα απλο κουμπι paynow... ... στην ουσια το express checkout δουλευει βαζωντας ενα κουμπι ... στελνω το user στο paypal επιβεβαιωνει οτι ειναι αυτο που θελει να πληρωσει και ξαναγυριζει στο σιτε μου χωρις να εχει πληρωσει ακομα ... και στο επομενο σταδιο ενα κουμπι του paypal και χρεωνεται αμεσα ... το θεμα μου ειναι αυτα που στελνει το paypal στην πρωτη φαση με τον τροπο αυτο πως μπορω να τα τσεκαρω οτι ειναι ορθα. τι εννοω ... μου στελνει το ποσο που θα πληρωσει ο user με καποια κρυπτογραφηση ? και αν ναι πως αποκρυπτογραφειται αυτο σε εμενα ... γιατι αν δεν ειναι κρυπτογραφημνο στην ουσια μπορει καποιος (σιγουρα οχι καποιος τυχαιος) να το τροποποιησει...
PCharon Δημοσ. 29 Μαΐου 2011 Δημοσ. 29 Μαΐου 2011 Όπως θα παρατήρησες, δεν υπάρχει κάποιο γελοίο τρικάκι για να τροποποιήσεις το cache της σελίδας και να βάλεις άλλο ποσό, δουλεύει αλλιώς το σύστημα, οπότε το πρόβλημα που ανέφερες έχει λυθεί αν χρησιμοποιήσεις αυτά τα merchant services του paypal, δεν είναι τυχαία φτιαγμένα έτσι. Για το "πώς θα γίνει" θα πρέπει να μελετήσεις ενδελεχώς τη βοήθεια του paypal, συγκεκριμένα έχει δικό του API για να το ενσωματώσεις στο site σου αν είσαι developer: https://cms.paypal.com/us/cgi-bin/?cmd=_render-content&content_ID=developer/howto_api_overview
xristos05 Δημοσ. 29 Μαΐου 2011 Μέλος Δημοσ. 29 Μαΐου 2011 Όπως θα παρατήρησες, δεν υπάρχει κάποιο γελοίο τρικάκι για να τροποποιήσεις το cache της σελίδας και να βάλεις άλλο ποσό, δουλεύει αλλιώς το σύστημα, οπότε το πρόβλημα που ανέφερες έχει λυθεί αν χρησιμοποιήσεις αυτά τα merchant services του paypal, δεν είναι τυχαία φτιαγμένα έτσι. Για το "πώς θα γίνει" θα πρέπει να μελετήσεις ενδελεχώς τη βοήθεια του paypal, συγκεκριμένα έχει δικό του API για να το ενσωματώσεις στο site σου αν είσαι developer: https://cms.paypal.com/us/cgi-bin/?cmd=_render-content&content_ID=developer/howto_api_overview κοιτα φιλε μου ... δε προσπαθω να στο παιξω καποιος ... ισα ισα που ζητησα μια βοηθεια για οποιον μπορει και ξερει και ευχαριστω για την υποδειξη .. και οσο για το αν ειμαι προγραμματιστης ειμαι και στον επαγγλεματικο χωρο τωρα το οτι ρωτησα στο forum ετυχε να μην ξερει καποιος αλλος απο τον κυκλο μου.. και αν εχεις το firebug ανοιξε τον κωδικα της σελ που μου ανεφερες για παραδειγμα... τροποποιησε τη τιμη του προιοντος στο καλαθι και θα καταλαβεις τι εννοω
PCharon Δημοσ. 29 Μαΐου 2011 Δημοσ. 29 Μαΐου 2011 κοιτα φιλε μου ... δε προσπαθω να στο παιξω καποιος ... ισα ισα που ζητησα μια βοηθεια για οποιον μπορει και ξερει και ευχαριστω για την υποδειξη .. και οσο για το αν ειμαι προγραμματιστης ειμαι και στον επαγγλεματικο χωρο τωρα το οτι ρωτησα στο forum ετυχε να μην ξερει καποιος αλλος απο τον κυκλο μου.. Δε καταλαβαίνω γιατί απολογείσαι, δε σου είπα τίποτα. Υπόδειξη ζήτησες και σου έκανα, δεν το άνοιξα εγώ το topic, έκανα εγώ τις ερωτήσεις και απάντησα στον εαυτό μου. και αν εχεις το firebug ανοιξε τον κωδικα της σελ που μου ανεφερες για παραδειγμα... τροποποιησε τη τιμη του προιοντος στο καλαθι και θα καταλαβεις τι εννοω Έχω καταλάβει από την αρχή. Αν αλλάξεις το νουμεράκι στην HTML στο site του paypal όπου γίνεσαι redirect δε καταφέρνεις τίποτα, δεν αλλάζει το ποσό που θα χρεωθείς. Δε στέλνει το νουμεράκι με τα δολλάρια η φόρμα αυτή.
xristos05 Δημοσ. 29 Μαΐου 2011 Μέλος Δημοσ. 29 Μαΐου 2011 Έχω καταλάβει από την αρχή. Αν αλλάξεις το νουμεράκι στην HTML στο site του paypal όπου γίνεσαι redirect δε καταφέρνεις τίποτα, δεν αλλάζει το ποσό που θα χρεωθείς. Δε στέλνει το νουμεράκι με τα δολλάρια η φόρμα αυτή. μα δεν ειπα για το νουμερακι στη σελ του paypal ειπα στην σελ την δικη μου πριν πατησω το κουμπακι του paypal ** Δεν υπαρχει περιπτωση να "χακαρουν" την σελ του paypal αλλα την δικη μου
PCharon Δημοσ. 29 Μαΐου 2011 Δημοσ. 29 Μαΐου 2011 Μα γι αυτό λέμε (κι εσύ το είδες) πως είναι λάθος τεχνική. Αντί να χρησιμοποιήσεις κάποιο κουμπάκι του paypal με ελέυθερο ποσό που να βάζεις εσύ από μόνος σου μέσω φόρμας, πρέπει να χρησιμοποιήσεις τα σχετικά services όπου το ποσό είναι προκαθορισμένο και μεταφέρονται μόνο IDs, οπότε εσύ απλά αποθηκεύεις τα IDs και δεν παίζεις με το ποσό.
xristos05 Δημοσ. 29 Μαΐου 2011 Μέλος Δημοσ. 29 Μαΐου 2011 Μα γι αυτό λέμε (κι εσύ το είδες) πως είναι λάθος τεχνική. Αντί να χρησιμοποιήσεις κάποιο κουμπάκι του paypal με ελέυθερο ποσό που να βάζεις εσύ από μόνος σου μέσω φόρμας, πρέπει να χρησιμοποιήσεις τα σχετικά services όπου το ποσό είναι προκαθορισμένο και μεταφέρονται μόνο IDs, οπότε εσύ απλά αποθηκεύεις τα IDs και δεν παίζεις με το ποσό. να σε ρωτησω και κατι ακομα φιλε μου.. πολυ σωστο αυτο που μου λες το να καθορισεις το ποσο ενος κουμπιου γινεται μεσω paypal στη δημιουργια νεου κουμπιου ... και οριζεις το amount του κουμπιου.. που αυτο το κουμπι θα εχει ενα συγκεκριμενο id ... λογο του οτι σε ενα eshop ο κατοχος του δεν ειναι εφικτο να πηγαινει και να φτιαχνει κουμπια για καθε προιον οπως και να ενημερωνει τις τιμες τους ... (ειναι ακρετα χαζος τροπος)... ενας ενδιαμεσος τροπος ειναι ? η υπερεσια express checkout που μου υπεδειξες ?
PCharon Δημοσ. 29 Μαΐου 2011 Δημοσ. 29 Μαΐου 2011 Ναι με αυτό το τρόπο χρησιμοποιείς εντολές προς το paypal AΡI δημιουργώντας αμέσως προφίλ πληρωμής με το ποσό και δε μπορεί να πειράξει τίποτα ο επισκέπτης από την HTML.
xristos05 Δημοσ. 29 Μαΐου 2011 Μέλος Δημοσ. 29 Μαΐου 2011 να σου κανω και μια τελευταια ερωτηση ... συγγνωμη αν γινομαι πριξας... αλλα και αποτι ειδα εχει 5 σταδια η εκτελεση.. στο 2 σταδιο εχεις μια φορμα που πας στο paypal το εγγρινει ο χρηστης και επιστρεφεις και τελος θα πατησει για πληρωμη στο σιτε σου και θα χρεωθει τοτε... στο δευτερο σταδιο δε θα πρεπει να ξερει το paypal το ποσο που θα πρεπει να αντιστοιχισει στο id του κουμπιου που θα "βγαλει" αυτο το ποσο δε θα πρεπει να το στειλω εγω σαν site που θα το ξερει το paypal...
PCharon Δημοσ. 29 Μαΐου 2011 Δημοσ. 29 Μαΐου 2011 Στο paypal ολοκληρώνεται η διαδικασία, όχι στο site σου (αυτό που βλέπεις στις σελίδες του demo μετά είναι επειδή έχει βάλει το logo του αρχικού site μέσα στη διαδικασία του paypal, γίνεται αυτό, όχι επειδή είναι στη σελίδα του αρχικού site). Το ποσό το στέλνεις εσύ ως εντολή στην αρχή χωρίς να συμμετέχει ο χρήστης. Για λεπτομέρειες κατέβασε τα παρακάτω, είναι αρκούντως επεξηγηματικά και με παραδείγματα κώδικα. https://cms.paypal.com/cms_content/US/en_US/files/developer/PP_ExpressCheckout_IntegrationGuide.pdf https://www.paypal.com/en_US/pdf/PP_WebsitePaymentsStandard_IntegrationGuide.pdf
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.