金额输入字段
我正在使用一些带有 PHP 的支付网关,并在其中的文档中:
<form accept-charset="UTF-8" action="https://api.linkToPaymentGateway.com/v1/payments.html" method="POST">
<input type="hidden" name="description" value="Order id 1234 by guest" />
<input type="hidden" name="amount" value="10000" />
<!--
and some input's for the card information with type="text"
-->
<button type="submit">Purchase</button>
</form>
我的问题是:
如何保护提交的金额和描述?
我应该更改操作并使用 cURL 发送 api 吗?
谢谢。
慕标5832272浏览 91回答 1
1回答
-
慕运维8079593
您不能信任表单中金额字段的隐藏输入。任何对 html 和开发工具有一定了解的人都可以轻松地将其更改为任意数量。可能有很多解决方法可以解决这个问题。喜欢您应该将表单数据发送到您的服务器并再次计算金额并调用网关api。仅当您的 api 网关具有回调选项时,才信任此处的用户。在回电中,您可以检查收取的金额,并在更新订单之前确保金额正确。
随时随地看视频慕课网APP
PHP