Foros del Web » Programando para Internet » PHP »

seguridad en codigo PHP PAYPAL . PAGOS ONLINE

Estas en el tema de seguridad en codigo PHP PAYPAL . PAGOS ONLINE en el foro de PHP en Foros del Web. hola una pregunta, ustedes, que ya conocen la api de paypal, queria preguntar, una par de cosas.. 1) bueno como manejan el tema del IFRAME, ...
  #1 (permalink)  
Antiguo 27/11/2013, 07:00
 
Fecha de Ingreso: febrero-2013
Ubicación: en mi casa
Mensajes: 541
Antigüedad: 11 años, 8 meses
Puntos: 3
seguridad en codigo PHP PAYPAL . PAGOS ONLINE

hola una pregunta, ustedes, que ya conocen la api de paypal, queria preguntar, una par de cosas..

1) bueno como manejan el tema del IFRAME, ami no me dejo, asi que lo redirecciono en la misma ventana, despues algo que configure en la cuenta, me devuelve a la pagina, pero pierdo los valores de la session

2) el tema de la seguridad de los datos, ya que cuando envio el formulario con todos los datos se hace por un formulario HTML comun, nada de PHP,, y facilmente se puede cambiar los datos, y esto de que no mantiene la session, es peor...

a lo sumo a lo que compra, verifico los ID, y verifico que los importes sean validos...con consultas sql... de los contrario, el formulario fue editado, por alguno que toco el formulario, antes de enviarlo ...
  #2 (permalink)  
Antiguo 21/04/2014, 05:36
 
Fecha de Ingreso: junio-2009
Mensajes: 128
Antigüedad: 15 años, 5 meses
Puntos: 17
Respuesta: seguridad en codigo PHP PAYPAL . PAGOS ONLINE

Refloto el tema, para no abrir uno nuevo con lo mismo y porque aún esta dentro de los plazos de tiempo para hacerlo.

Cita:
Iniciado por aldo_rengo Ver Mensaje
2) el tema de la seguridad de los datos, ya que cuando envio el formulario con todos los datos se hace por un formulario HTML comun, nada de PHP,, y facilmente se puede cambiar los datos, y esto de que no mantiene la session, es peor...

a lo sumo a lo que compra, verifico los ID, y verifico que los importes sean validos...con consultas sql... de los contrario, el formulario fue editado, por alguno que toco el formulario, antes de enviarlo ...
Me he encontrado en la misma situación. Quiero hacer un sistema de pago por paypal de lo más simple, para 3 productos de 10, 20, 30 euros. Para esta opción introducir los botones me parecio mucho más acertado que integrar la api al completo.

Los botones, son muy faciles de insertar y funcionan a la perfección, pero me percate de lo mismo que comenta el compañero... Son simple formularios html, completamente editables "on the fly" por lo que es posible modificar los conpcetos y precios del pago y estos son aceptados por paypal (paypal te obliga a que almenos sea 0.01 el valor a cobrar).

He seguido la misma linea de pensamiento que el compañero, y he pensado en hacer la comprobación a la hora de la respuesta... pero en este punto el "cliente troll" ya ha pagado, aunque sea ese 0.01... ¿Se lo robamos impunemente por tonto? ¿hay alguna forma de predefinir en paypal que solo se acepten X valores de pago? ¿Algun tipo de forma de certificar la cantidad que solicita, token, crifado, lo que sea?.

A ver si hay suerte y alguien ha trabajado con esto y tiene algo de idea. Porque me parece un sistema bastante inseguro para provenir de paypal, si es tan unicamente simple como el formulario html
  #3 (permalink)  
Antiguo 21/04/2014, 06:29
 
Fecha de Ingreso: febrero-2013
Ubicación: en mi casa
Mensajes: 541
Antigüedad: 11 años, 8 meses
Puntos: 3
Respuesta: seguridad en codigo PHP PAYPAL . PAGOS ONLINE

Cita:
Iniciado por kikeking1 Ver Mensaje
Refloto el tema, para no abrir uno nuevo con lo mismo y porque aún esta dentro de los plazos de tiempo para hacerlo.



Me he encontrado en la misma situación. Quiero hacer un sistema de pago por paypal de lo más simple, para 3 productos de 10, 20, 30 euros. Para esta opción introducir los botones me parecio mucho más acertado que integrar la api al completo.

Los botones, son muy faciles de insertar y funcionan a la perfección, pero me percate de lo mismo que comenta el compañero... Son simple formularios html, completamente editables "on the fly" por lo que es posible modificar los conpcetos y precios del pago y estos son aceptados por paypal (paypal te obliga a que almenos sea 0.01 el valor a cobrar).

He seguido la misma linea de pensamiento que el compañero, y he pensado en hacer la comprobación a la hora de la respuesta... pero en este punto el "cliente troll" ya ha pagado, aunque sea ese 0.01... ¿Se lo robamos impunemente por tonto? ¿hay alguna forma de predefinir en paypal que solo se acepten X valores de pago? ¿Algun tipo de forma de certificar la cantidad que solicita, token, crifado, lo que sea?.

A ver si hay suerte y alguien ha trabajado con esto y tiene algo de idea. Porque me parece un sistema bastante inseguro para provenir de paypal, si es tan unicamente simple como el formulario html
el tema del pago , del envio del formulario no lo he podido modificar.

lo envia, si o si...-SIN REALIZAR UN CONTROL, CON JAVASCRIPT, YA QUE IGUAL LO PUEDE TOCAR EL USUARIO TROLL-

pero despues de pagar el cliente...
osea ya en "paypal"- (tampoco pude hacer que el sitio de paypal se abra en un iframe)

hay una opcion de ejecutar un script.
osea, de llamar a una URL.

bueno, el tema es que llamaba a esa url y verificaba, con el ID de la compra, en una session, los datos que sean correctos.

creoq ue era asi, no recuerdo bien

Última edición por aldo_rengo; 21/04/2014 a las 06:38
  #4 (permalink)  
Antiguo 21/04/2014, 06:40
 
Fecha de Ingreso: junio-2009
Mensajes: 128
Antigüedad: 15 años, 5 meses
Puntos: 17
Respuesta: seguridad en codigo PHP PAYPAL . PAGOS ONLINE

Si efectivamente funciona asi el sistema... se hace el pago y luego se realiza la comprobación con la respuesta que paypal envia por su IPN.

Cita:
Iniciado por Paypal
Verify that the payment amount in an IPN matches the price you intend to charge.
If you do not encrypt your button code, it's possible for someone to capture a button-click message and change the price it contains. If you don't check the price in an IPN against the real price, you could accept a lower payment than you want.
https://developer.paypal.com/webapps...uide/IPNIntro/

Se me sigue haciendo raro, pero bueno, seguiremos trabajando en esta linea. Si saco algo más en claro volvere por aqui a comentarlo.. en principio parece que no tiene más vuelta de hoja el asunto, aunque la frase "If you do not encrypt your button code" me deja con dudas. Sigo a ello!!

Gracias por responder aldo_rengo. :D
  #5 (permalink)  
Antiguo 23/04/2014, 08:57
 
Fecha de Ingreso: junio-2009
Mensajes: 128
Antigüedad: 15 años, 5 meses
Puntos: 17
Respuesta: seguridad en codigo PHP PAYPAL . PAGOS ONLINE

Ya decia yo que se me hacia raro, y como soy de culo inquieto pues segui investigando un poquito más. Efectivamente los botones de paypal se pueden encriptar haciendo uso de certificados consiguiendo 2 de los principales objetivos que queriamos.

1. Quitar la posibilidad de que un usuario modifique "on the fly" los valores de los campos hidden.
2. Crear un cifrado que nos de más garantias al respecto de la seguridad. (sigue siendo completamente imprescindible las comprobaciones en el IPN, pero ya no me siento tan "violable" como antes).

Investigando llege a este tutorial que hizo el compañero Zalito12 y que se encuentra aqui en forosdelweb. Dejo el enlace para todos aquellos que llegen a este hilo puedan llegar hasta el con mayor facilidad (a mi me ha ayudado de considerable manera, no solo a entender la encriptación si no tambien el concepto global del funcionamiento de los botones y los mensajes de respuesta IPN):

http://www.forosdelweb.com/f18/tutor...l-mas-1031730/

Ya tengo mis botones dinamicos y encriptados de forma sencilla y eficaz

Un saludo!

Etiquetas: formulario, html, pagos, paypal, seguridad, sql
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 1 personas




La zona horaria es GMT -6. Ahora son las 06:15.