6

我有 3 件商品在我的网站上出售,我不需要购物车之类的东西。在用户用数据填写表单后,我将他导航到一个新页面,在其中显示他输入的所有数据和价格。现在这个 PayPal 按钮由hidden input field:

<form action="https://www.paypal.com/cgi-bin/webscr" method="post" target="_top">
<input type="hidden" name="cmd" value="_xclick">
<input type="hidden" name="business" value="test12344@gmail.com">
<input type="hidden" name="lc" value="EN">
<input type="hidden" name="item_name" value="aaa">
<input type="hidden" name="item_number" value="12345">
<input type="hidden" name="button_subtype" value="services">
<input type="hidden" name="no_note" value="0">
<input type="hidden" name="amount" value="">
<input type="hidden" name="bn" value="">
<input type="image" src="https://www.paypalobjects.com/btn/btn_buynowCC_LG.gif" border="0" name="submit" alt="PayPal">
<img alt="" border="0" src="https://www.paypalobjects.com/en_US/i/scr/pixel.gif" width="1" height="1">
</form>

随着JavaScript我在新页面中输入参数,并在 PayPal 按钮的金额输入(价格)中设置价格。

当您单击按钮时,您会导航到一个 payPal 页面,金额来自:

<input type="hidden" name="amount" value="199.50">

我的问题:这是正确的做法吗?任何用户,甚至黑客都不能简单地在按下按钮更改金额并按下按钮之前......因此他将支付(可能更少)不同的价格!

我想使用直接 API,但它仅适用于美国、加拿大的企业。

最好的事情是什么?

4

2 回答 2

2

您应该使用加密的网站付款 - https://www.paypal.com/cgi-bin/webscr?cmd=p/xcl/rec/ewp-intro-outside。这将确保付款金额无法更改。您还可以更新您的设置以仅允许通过加密按钮付款,以进一步保护您的帐户/付款免遭黑客入侵以降低价格。

于 2013-06-18T15:16:56.040 回答
1

首先 - 我强烈建议您停止将 Javascript 用于任何与支付相关的工具。这是一种客户端技术,任何人都可以轻松地编辑正在传递的值。在处理付款时,我在服务器端做每一件事......

第二 -

如果您只销售几件商品,为什么要将价格保持在隐藏值?使用数组(简单但并不总是好的)或数据库(更容易更新)来保存所有项目的信息和值不是更容易吗?然后简单地将其传递给贝宝?

    $orderParams    = array(
    // Sets event to sale
    'PAYMENTREQUEST_0_PAYMENTACTION'        => 'Sale',
    // Forces Shipping To Accept My Values
    'REQCONFIRMSHIPPING'                    => '0',
    'ADDROVERRIDE'                          => '1',
    // Final Cost Totals - Must match with Controller
    // Hardcoded - Only accept US Scratch
    'PAYMENTREQUEST_0_CURRENCYCODE'         => 'USD',
    // Payment Costs
    'PAYMENTREQUEST_0_AMT'                  => $total,
    'PAYMENTREQUEST_0_SHIPPINGAMT'          => $buyer['shippingTotal'],
    'PAYMENTREQUEST_0_ITEMAMT'              => $subTotal,
    // Custom Shipping Information
    'PAYMENTREQUEST_0_SHIPTONAME'           => $buyer['payName'],
    'PAYMENTREQUEST_0_SHIPTOSTREET'         => $buyer['payStreet'],
    'PAYMENTREQUEST_0_SHIPTOCITY'           => $buyer['payCity'],
    'PAYMENTREQUEST_0_SHIPTOSTATE'          => $state,
    'PAYMENTREQUEST_0_SHIPTOZIP'            => $buyer['payZip'],
    'PAYMENTREQUEST_0_SHIPTOCOUNTRYCODE'    => $country,
    'PAYMENTREQUEST_0_INVNUM'               => $buyer['quoteNumber']
    );
    /*'PAYMENTREQUEST_0_SHIPTONAME'         => $buyer['payName'],
    'PAYMENTREQUEST_0_SHIPTOSTREET'         => $buyer['payStreet'],
    'PAYMENTREQUEST_0_SHIPTOCITY'           => $buyer['payCity'],
    'PAYMENTREQUEST_0_SHIPTOSTATE'          => $buyer['payState'],
    'PAYMENTREQUEST_0_SHIPTOZIP'            => $buyer['payZip'],
    'PAYMENTREQUEST_0_SHIPTOCOUNTRYCODE'    => 'US',
    'PAYMENTREQUEST_0_INVNUM'               => $buyer['quoteNumber']
    );*/

    // Item Array for wheel
    $yoke = array(
    'L_PAYMENTREQUEST_0_NAME0'  => 'Custom Control Wheel Set',
    'L_PAYMENTREQUEST_0_DESC0'  => 'Custom Leather Choices',
    'L_PAYMENTREQUEST_0_AMT0'   => $buyer['payItem'],
    'L_PAYMENTREQUEST_0_QTY0'   => '1'
    );

这是我使用的一小部分 PayPal 相关代码。使用我自己的数组来填充每个项目,然后再将其传递给贝宝。我强烈建议不要通过 Javascript 传递任何信息。

你为什么要在视图中添加价格数据?有什么原因吗?

于 2013-06-18T15:20:41.773 回答