使用paypal html api是安全的嗎？

Question

我嘗試了paypals HTML API，您可以指定在html價格，ITEM_NAME，客戶信息等：

<form action="https://www.paypal.com/cgi-bin/webscr" method="post" id="payPalForm"> 

     <input type="hidden" name="cmd" value="_cart" /> 
     <input type="hidden" name="upload" value="1" /> 

     <input type="hidden" name="no_note" value="1" /> 
     <input type="hidden" name="business" value="your@paypalaccount.com" /> 
     <input type="hidden" name="currency_code" value="SEK" /> 
     <input type="hidden" name="return" value="http://freelanceswitch.com/payment-complete/" /> 

     <input type="hidden" name="tax_rate" value="25" /> 

     <input type="hidden" name="item_name_1" value="Apple Macpro" /> 
     <input type="hidden" name="item_number_1" value="01 - Product 1" /> 
     <input type="hidden" name="amount_1" value="25000" /> 

     <input type="hidden" name="item_name_2" value="Apple Macbook" /> 
     <input type="hidden" name="item_number_2" value="02 - Product 2" /> 
     <input type="hidden" name="amount_2" value="12500" /> 

     <input type="hidden" name="item_name_3" value="Apple Macbook Air" /> 
     <input type="hidden" name="item_number_3" value="03 - Product 3" /> 
     <input type="hidden" name="amount_3" value="12500" /> 

     <input type="submit" name="Submit" value="Submit" /> 

    </form> 

當用戶點擊提交需要他/她paypals付款頁面。

但這並不意味着黑客可以通過操縱html代碼來改變順序嗎？

我無法弄清楚貝寶如何防止這種安全問題。

Answer 1

當然，它看起來好像有人可以改變HTML並重新提交表單。

我對PayPal沒有把握，但Google Checkout通過設置HTML來代替它，它可以讓您創建XML，使用商家密鑰對其進行加密，並在您的HTML中使用加密的字符串傳遞給Google 。然後谷歌使用您的商家密鑰對其進行解密，然後篡改 - 篡改。

有PayPal的文檔沿着「車簽署」或線的東西在看「要求加密」。他們也可能會回覆您的服務器，告訴您發送的內容，並將其與您的數據庫進行比較，以查看價格是否仍然正確。

Answer 2

如果是像其他HTML整合什麼，應該有直接到你的服務器的回調貝寶與中輸入的所有領域。你可以比較這些來看看是否有任何改變。通常有各種安全機制，如共享隱藏密鑰，以便您可以驗證回調是否真實。

Answer 3

它似乎並不像它本身是安全的。在Paypal的Securing Your Website Payments Standard Buttons頁面上，他們談到能夠創建受保護的付款按鈕。然而，他們進一步表明，如果Javascript被禁用，那麼它就無法工作！然後他們談論其他可以執行的手動流程，包括對帳和即時通知，這些流程無論如何都應該發生在任何聲音會計流程中。

Encrypted website payments真的好像是唯一安全的選擇我。