当作为隐藏输入字段提交时，如何防止用户覆盖购物车中的总成本？

Question

我在接受付款方面遇到严重问题。

我正在隐藏字段中传递总金额。

<input type="hidden"
  name="checkout-flow-support.merchant-checkout-flow-support.shipping-methods.flat-rate-shipping-1.price"
  value="129.00"/>

一些用户使用 firebug 将此值更改为 2 并提交了表单。我们没有得到 129 美元，而是只收到了 2 美元。

我不知道如何进行此操作，任何人都可以快速帮助我。

Answer 1

我在隐藏字段中传递了总金额

不要这样做！

由于您知道用户尝试购买哪些商品，因此请计算服务器端的成本。

Answer 2

这是一个教科书式的错误，类似于在实体店询问顾客该商品的价格并相信他的回答。这是一般安全原则的一个特例：不信任客户端。霍博达夫的回答是正确的；在服务器端计算价格、税金等。

Answer 3

对于支付服务提供商 (PSP)，一般通信设置通常如下所示：

1) 您的服务器联系 PSP 并设置交易，指定所需金额和您的 PSP 帐户详细信息。

2) PSP 使用事务标识符进行响应，然后您将其添加到表单中。该交易标识符不包含有关所涉及价格的信息 - 它只是您的服务器与 PSP 设置的交易记录的标识符。

3) 访客填写表格并发送给 PSP。然后他们将访问者重定向回您的网站。

4) 您的服务器查询 PSP 服务器并检查交易是否成功（即访问者的付款方式是否与 PSP 进行了交易等）

服务器到 PSP 的通信通常使用诸如curl 之类的库来完成。

Google 提供了许多有关如何正确处理交易的库/示例（根据我的经验，大多数其他 PSP 也这样做）：
http://code.google.com/apis/checkout/samplecode.html

确切的通信细节可能会因 PSP 的不同而有所不同，但基本上不需要通过向访问者显示的表格来显示“总金额”。这一切都是在服务器到服务器之间完成的，因此访问者不可能更改详细信息。