如何确保数据库中的产品ID不被篡改

Question

我有一个小型 PHP/MySQL 购物车系统，用户可以在其中添加产品、结帐和付款。
这些产品都有 ID，这样当用户结账时，
我可以获得该产品的属性（价格、重量、供应商的帐户 ID 等）。

现在，某人打开 Firebug 真的很容易，
猜测另一个产品 ID，更改它，然后结账。

防止这种情况的最佳方法是什么？
如果重要的话，商店和结账系统位于两个不同的域。
我可以使用诸如唯一令牌之类的东西
但如果多个客户可以同时使用购物车，那该怎么办呢？

编辑：哇，输入得太快了，遗漏了一些重要的细节。购物车当前表示为存储在 PHP 会话中的 JSON。所有产品都有一个 account_id，将它们与供应商的帐户关联起来。

如果用户更改了产品 ID 并且碰巧在另一个供应商的帐户下获得了产品（本质上是从不同公司的商店购买了另一家公司的产品），就会出现问题，这是不可取的。感谢您到目前为止的回答。

Answer 1

使用服务器端会话来存储购物车详细信息。

每个会话都有一个唯一的 ID，存储在 cookie 中。所有详细信息（所选项目、金额等）都与此 sessionId 相关联。

根据定义，您不希望不同的客户使用同一个购物车。相反，每个客户都使用自己单独的购物车副本。

如果您需要与某些外部服务“共享”sessionId，请计算一个单独的唯一密钥并与第三方服务（=您的情况下的结帐服务）共享此密钥。
这确保您在与第三方通信时可以唯一地识别您的客户，而第三方不知道您如何识别您的客户或与您这边的客户通信。 （要记住的重要一点是，sessionId 是一个共享秘密，其他人不应该知道它）。

Answer 2

如果您有权访问购物车系统，正确的方法是在运行付款之前让它重复 ID 查找和成本计算。这样，如果有人将 1.99 美元的一盒糖果换成 1999.99 美元的高清电视，他们将需要支付电视费用。

如果您无法访问购物车系统，或者您无法告诉它产品是什么及其成本。获取新的购物车系统。

附带说明：您永远不应该信任来自用户的数据。不需要建立对用户的信任。只需接受 ID 并在服务器上运行所有数字即可。

Answer 3

一种方法是使用哈希。当他们选择产品并呈现表单时，获取产品 ID 的哈希值并将其存储在产品 ID 旁边的隐藏字段中。当“结帐”发布发生时，获取发布的产品 ID 的哈希值，并将其与表单中发送的产品 ID 进行比较。如果它们不匹配，则产品 ID 已被篡改。我不熟悉 PHP，因此无法提供代码示例，但我已经在 ASP.NET 中使用了这种方法，而且它很有魅力。

希望这是有道理的！

Answer 4

威胁是什么？如果客户端只有产品 ID，那么如果他们更改 ID，他们就会购买不同的产品，仅此而已。或者你的产品并不适合所有人？如果不是，您需要使用随机 ID，这样就不会被轻易猜到。

Answer 5

我认为你要做的就是加密/解密你的产品 ID 并使用它。
你可以使用base64_encode()和base64_decode()

希望这会有所帮助