当前位置：文江博客话题详情

电子商务：可以通过查询字符串传递订单 ID 吗？

发布于 2024-07-29 23:45:21 字数 167 浏览 4 评论 0原文

我们正在开发一个旨在处理在线支付的网站。我们想知道，在付款过程中通过查询字符串传递订单/交易 ID 是否可以？由于服务器开销，我们不想将此 Id 存储在会话变量中，因此我们认为将其存储在查询字符串中比较合适。

对此有什么想法吗？特别是从安全角度来看。

非常感谢。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

枕头说它不想醒 2024-08-05 23:45:21

尝试使您的服务无状态是一个值得追求的目标。不过，查询字符串中包含订单 ID 是否“安全”取决于很多因素。您可能需要担心的主要事情是：

用户更改其订单ID
订单ID“泄漏”给第三方第三方
预测的订单ID

我说“可能”是因为您实际上需要担心哪些事情取决于细节您的系统的。这些事情的发生会带来什么后果？根据您的系统的详细信息，这些可能是无害的，也可能是非常严重的。

最容易解决的问题是“泄漏”问题。使用 HTTPS。这不仅可以防止“窃听者”，还可以防止由于代理日志和 Referer header 造成的泄漏。

预测问题可以通过对查询字符串中出现的订单 ID 进行加密（是的，除了 HTTPS 之外，我们也不希望最终用户对其进行解密）来解决。这样，某人就不能仅通过增加/减少查询字符串来查找另一个订单 ID。（这也可以防止用户轻松计算出系统中的订单总数，这可能是可取的。）

您可以通过在首次分配订单 ID 时记录订单 ID 属于谁来解决用户更改其订单 ID 的问题，或者通过包含 (user, orderid) 对的安全签名作为查询参数。然后用户只能将自己的订单 ID 更改为自己已经拥有的订单 ID，这至少可以防止他们篡改别人的订单。如果这样做，您可能不需要对订单 ID 进行加密，除非您想阻止用户知道存在多少订单。

这些只是一些想法。其中哪些适用于您的系统取决于我之前提到的因素。