动态 PayPal 按钮生成 - 这不是很不安全吗？

2024-04-28

我只是想知道.. PayPal 按钮不是动态创建的、非常不安全并且很容易被“破解”吗？

Like so:

<form name="_xclick" target="paypal" action="https://www.paypal.com" method="post">
<input type="hidden" name="cmd" value="_cart">
<input type="hidden" name="business" value="[email protected] /cdn-cgi/l/email-protection">
<input type="hidden" name="currency_code" value="USD">
<input type="hidden" name="item_name" value="HTML book">
<input type="hidden" name="amount" value="24.99">
<input type="image" src="http://www.paypal.com/en_US/i/btn/btn_cart_LG.gif" border="0" name="submit" alt="Make payments with PayPal - it's fast, free and secure!">
<input type="hidden" name="add" value="1">
</form>

当您可以使用 FireBug 等工具修改代码时，更改产品的价格非常简单。

我问的原因是因为我可能/将开始开发一个电子商务类系统，可以将产品添加到该系统中，而无需在 PayPal 中进行。

您应该使用 PayPal Button API，如下所示：

$sendPayData = array(
    "METHOD" => "BMCreateButton",
    "VERSION" => "65.2",
    "USER" => "username",
    "PWD" => "password",
    "SIGNATURE" => "abcdefg",
    "BUTTONCODE" => "ENCRYPTED",
    "BUTTONTYPE" => "BUYNOW",
    "BUTTONSUBTYPE" => "SERVICES",
    "BUTTONCOUNTRY" => "GB",
    "BUTTONIMAGE" => "reg",
    "BUYNOWTEXT" => "BUYNOW",
    "L_BUTTONVAR1" => "item_number=$invoiceNumber",
    "L_BUTTONVAR2" => "item_name=$invoiceType",
    "L_BUTTONVAR3" => "amount=$invoiceTotal",
    "L_BUTTONVAR4" => "currency_code=GBP",
    "L_BUTTONVAR5" => "no_shipping=1",
    "L_BUTTONVAR6" => "no_note=1",
    "L_BUTTONVAR7" => "notify_url=http://www.abc.co.uk/paypal/ipn.php",
    "L_BUTTONVAR8" => "cancel_return=http://www.abc.co.uk/paypal/thanks",
    "L_BUTTONVAR9" => "return=http://www.abc.co.uk/paypal/return.php"
);

然后您可以使用 cURL 将其发送到他们的 API

$curl = curl_init();
curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($curl, CURLOPT_URL, 'https://api-3t.paypal.com/nvp?'.http_build_query($sendPayData));
$nvpPayReturn = curl_exec($curl);
curl_close($curl);

然后生成无法编辑的加密 HTML 按钮

<form action="https://www.paypal.com/cgi-bin/webscr" method="post"> 
<input type="hidden" name="cmd" value="_s-xclick"> 
<input type="hidden" name="encrypted" value="-----BEGIN PKCS7-----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-----END PKCS7-----
">
<input type="image" src="https://www.paypal.com/en_US/i/btn/btn_paynow_LG.gif" border="0" name="submit" alt="PayPal - The safer, easier way to pay online."> 
<img alt="" border="0" src="https://www.paypal.com/en_GB/i/scr/pixel.gif" width="1" height="1">

这些链接应该可以帮助您了解按钮选项：

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

php

Dynamic

paypal

动态 PayPal 按钮生成 - 这不是很不安全吗？的相关文章

自定义 php 论坛 - 显示新的/未读的帖子

我自己使用 php 编写了一个自定义论坛脚本我决定不使用 phpbb 和其他工具因为我希望我所做的事情具有 100 的灵活性不过我遇到了一个问题如何向用户显示帖子是否是新的未读的我想到了两种解决方案 1 饼干 2 数据库我不想
在 while 循环内查询可以吗？

我在一个数据库中有两个表我正在查询第一个表限制 10 然后循环结果在 while 循环内我使用第一个查询中的数据作为参数再次执行另一个查询以下是该脚本的示例
PHP 文件由浏览器下载，而不是由本地开发服务器（MAMP）处理

一切都很顺利直到我添加AddHandler application x httpd php5s php到本地服务器文档根目录中的 htaccess 文件根据我正在使用的站点我经常更改该文件因为我访问时这样做了http 本地主机 88
精简 PHP 和 GET 参数

我使用 Slim PHP 作为 RESTful API 的框架如何在 Slim PHP 中从 URL 获取 GET 参数例如如果我想使用以下内容 http api example com dataset schools zip 999
Symfony2：twig 中的 form_widget 调用抛出异常“可捕获的致命错误......必须是 Symfony\Component\Form\FormView 的实例”

当我在控制器操作中创建一个表单时如下所示 form this gt createFormBuilder gt add field name gt getForm return array form gt form 我尝试在树枝模板中渲染此
将 XML 数据提取到 php [重复]

这个问题在这里已经有答案了我正在尝试从 XML 文件中提取数据 http freegeoip net xml google com http freegeoip net xml google com 您可以看到该文件的内容类似于
preg_replace_callback 要求参数 2 是一个有效的回调...卡住了！

public function make url clickable cb matches ret url matches 2 if empty url return matches 0 removed trailing from URL
MySQL：更新所有行将字段设置为0，但将一行的字段设置为1

是否有一种有效的方法将行字段的选择更新为 0 但根据 ID 将其中一行设置为 1 基本上我在数据库中有多个对象我想在其中一个 inuse 之间切换因此查询将其中一行按 id 设置为 inuse 1 将其他行设置为 inuse 0 谢
命令运行时从 shell_exec 命令获取输出

我正在编写一个 PHP 脚本网页该网页旨在接受先前上传到服务器的 JFFS2 图像的文件名然后该脚本将使用映像重新刷新服务器上的分区并输出结果我一直在用这个 tmp shell exec update flash v filena
PHP 中的 SQL 语句与 phpmyadmin 中的 SQL 语句的行为不同

I have form store sql INSERT INTO myodyssey myaccount id email username password VALUES NULL email unixmiah formtest woo
如何在Wamp服务器中启用SSL？

我尝试在网上搜索它但我很困惑我没有得到任何澄清逐步教程 http blog facilelogin com 2008 07 enabling ssl on wamp html 从链接复制在 WAMP 上启用 SSL 本分步指南介绍了
PHP 计数器在 while 循环中递增

我在一个 while 循环中增加计数器时遇到问题基本上我只想在数据库中获取的两个图像链接之间交替但我的计数器不会增加我不确定为什么有人可以提供帮助 while row stmt gt fetch PDO FETCH ASSOC img
更新查询增量字段加上 1 codeigniter 函数 [重复]

这个问题在这里已经有答案了我想在 codeigniter 项目中将字段值增加到当前值加 1 所以我做了一个功能但它不起作用我的职能是 function increse field by 1 table name fieldToInc
一个表单包含两个提交按钮，每个按钮都有不同的操作

我花了几个小时试图找到问题的解决方案但似乎找不到正确的解决方案提前感谢你的帮助我有一个 html 表单
返回早期概念在 PHP 中有何用处

我已经在以下链接中了解了最佳实践https pear php net manual en standards bestpractices php https pear php net manual en standards bestprac
重定向到另一个文件夹

我读了这个 htaccess 重写以将根 URL 重定向到子目录 https stackoverflow com questions 990392 htacces rewrite to redirect root url to subdir
如何从 php 中的 .doc 文件获取页面数，以下代码适用于 .docx 而不是 .doc

此代码工作 docx 格式文档但我需要 doc 格式文档计数 php 中的页数 function CountPagesDocx filename zip new ZipArchive if zip gt open filename tru
包含当月所有日期的 PHP 数组 [关闭]

很难说出这里问的是什么这个问题是含糊的模糊的不完整的过于宽泛的或修辞性的无法以目前的形式得到合理的回答如需帮助澄清此问题以便重新打开访问帮助中心 help reopen questions 我正在尝试并且仍然想知道如何获得一个
无法下载 Windows 版 Composer SSL：握手超时

这是我尝试安装 Windows 版 Composer 时得到的结果 The https getcomposer org versions https getcomposer org versions 无法下载文件 SSL 握手超时无法启用
Symfony2 dev环境可以工作，prod环境给出404错误

我最近在我的机器上成功安装了 Symfony2 我可以访问http localhost app dev php 开发环境但是当我尝试访问 prod 环境时 http localhost app php 我在浏览器中收到以下错误消息哎呀

随机推荐

WEKA 的重采样过滤器 - 如何解释结果

我目前正在努力解决机器学习问题而我必须处理大量不平衡的数据集也就是说有六个类 1 2 6 不幸的是有例如对于 1 类有 150 个示例实例对于 2 有 90 个实例对于 3 类只有 20 个实例所有其他类都无法训练因为
优化 Web 应用程序开发策略

如今许多网络应用程序正在使用它们自己无法使用的 API 或代码并且通常使用效率低下我想到了一些谷歌地图混搭对于 php asp 后端 HTML javascript 尤其是现在所有的 AJAX 存在许多潜在的瓶颈问题低效率和双重
直接将函数与匿名函数传递给 then Promise 回调

我试图理解这三个选项之间的区别 then myCallback then myCallback then gt myCallback The myCallback函数不返回任何内容仅用于其副作用因此我不需要它将任何内容传递回承诺链我不
Magento：两种基于重量的统一运费

尝试按如下方式设置我的运费如果购物车总重量低于 1 公斤则运费为 3 68 英镑如果购物车总重量超过 1 公斤则运费为 6 68 英镑如果购物车总价超过 100 英镑则免运费我设法使用 6 68 英镑的统一费率将所有这些结合在
如何获取带有完整月份名称的完整日期，例如 2015 年 11 月 2 日

我想将完整月份的日期加载到文本框中这意味着用户每次想要在文本框中保存日期时都会获得当前日期和时间他们不会写任何东西这是我想要的格式 2015 年 11 月 2 日但没有得到我想要的结果我得到了这个结果 DD NOV 2015 但这
滚动播放 Html5 视频

我正在一个 WordPress 网站上工作下面的代码可以按照我想要的方式工作只播放一次最后出现重播按钮我希望它在滚动到 ie 时开始播放在视口中我在这里看到了几种不同的方法来实现这一点但我无法让它们与我当前的代码很好地配合
Android 上的查询何时返回 Null？

我似乎没有找到任何有关查询插入或任何其他返回 null 的 SQL 方法的信息但如果发生错误它就会发生我只是想知道游标为空是否意味着发生了错误或者是否意味着没有选择任何行例如我不知道应该如何对待它作为一个错误或可能不时发生的
Ajax 成功时强制下载 .mp3 或 .zip 文件

用户填写电子邮件验证表单通过 AJAX 提交后如果 AJAX 调用响应成功我想强制在当前浏览器窗口中开始下载电子邮件验证表单如下所示
如何将 const unordered_map 中的值分配给另一个 const 变量 - C++ [重复]

这个问题在这里已经有答案了 include
当您在 iPad 上的 Safari 浏览器中触摸 HTML 元素时，它会变成灰色。决定嵌套元素中哪个元素显示为灰色的逻辑是什么？

当您触摸 iPad 上网页中的某个元素例如编辑框时它会在您触摸时变成灰色我有一张由浮动 div 包裹的桌子当触摸数据元素时整个表或其包装 div 不会变灰而不是单个数据元素或行变灰该表的功能是自动补全弹窗在网站的其他地方
使用Java Compiler API编译多个java文件

您好我需要创建编译和加载 java 类运行时使用 FTL 我正在创建 java 源文件并且如果没有动态依赖项则能够编译源代码为了详细说明一个实例我有两个java源文件一个接口及其实现类我可以使用 java 编译器 api
正则表达式删除外括号

我一直在用这个 s s 正则表达式使用 PHP preg replace 函数删除外括号在我上一个问题中了解更多信息正则表达式匹配除尾随空格之外的任何字符 https stackoverflow com questions 1076569
通过标签收集自定义帖子类型

我使用以下代码设置了名为扇区的自定义帖子类型 register post type sectors array labels gt array name gt Sectors singular name gt sectors has a
交叉编译 Qt 4.7 时出现“非法指令”

我已经在这个问题上苦苦挣扎了一个多星期了但仍然找不到解决方案我正在尝试为 ARM 设备交叉编译 Qt 4 7 嵌入式开源版本构建过程本身可以顺利完成但生成的二进制文件似乎包含处理器无法理解的指令构建主机是 i386 上的 Debi
如何获取 NSURLConnection 中的默认用户代理字符串？

我想将文本附加到默认的用户代理标头NSURLConnection 我知道怎么做更改 NSURLConnection 的用户代理 https stackoverflow com questions 1532206 changing the u
Pymongo 仅以列表形式返回值

以下 pymongo 查询为我提供了我需要的所有值 l list db rounds find current strategy PPStrategy4016 myFundsChange 1 id 0 myFundsChange 0 300
DataRow（数据表）中的链接

我正在动态构建一个数据表并尝试在要添加到数据表的数据行中添加一个链接 DataTable 在创建后绑定到 GridView 像这样的东西 DataTable dataTable new DataTable foreach Item it
在asp.net core中将字典发布到web api

我有使用开发的简单 Web apiAsp Net Core我正在尝试使用 HttpClient 发布键值对我尝试了两种方法第一种方法 Route api controller action public class Transforma
尝试创建问题时 GitHub API 422 出现意外错误响应

当向 GitHub API V3 发布问题时我收到了意外的响应即422不可处理的实体但是错误的详细信息是针对搜索端点的而不是针对 POST 创建端点的 message 验证失败 errors resource 搜索 field q
动态 PayPal 按钮生成 - 这不是很不安全吗？

我只是想知道 PayPal 按钮不是动态创建的非常不安全并且很容易被破解吗 Like so

动态 PayPal 按钮生成 - 这不是很不安全吗？

动态 PayPal 按钮生成 - 这不是很不安全吗？ 的相关文章

随机推荐

热门标签

动态 PayPal 按钮生成 - 这不是很不安全吗？的相关文章