Discussion :

[sami_c]

Bonjour,

J'ai suivi un tutoriel pour intégrer paypal à un site. :

La page qui permet d'aller payer sur paypal reprend donc toutes les données dans des champs cachés, même le prix !!! or avec l'extension WebDeveloper de Firefox, j'ai affiché ces champs caché, modifié le montant et cliqué sur le bouton de payement ... quand je suis redirigé sur la page de paypal, je retrouve le prix que j'ai saisi et non plus le prix initial !!!!
comment faire en sorte d'éviter ce genre de contournement ?

une 1ère idée pour se protéger contre ceci est de contrôler le retour de paypal : si le montant retourné est inférieur à celui de la commande je ne valide pas cette commande, mais je trouve qu'il vaut mieux stopper ce paiement avant la confirmation de paypal ...

[Benjamin Delespierre]

Il faut passer par le webservice sécurisé de paypal: https://cms.paypal.com/fr/cgi-bin/?c...ie_HTML_API_fr

L'idée c'est de faire transiter les données du paiement coté serveur et non coté client.

[sami_c]

merci pour la réponse
pourquoi donc paypal garde la méthode avec champs cachés ?? bon pour le moment je ne vais pas me retaper tout le code d'envoi, je vais juste ajouter un petit contrôle lors de la confirmation de la commande

[Benjamin Delespierre]

merci pour la réponse
pourquoi donc paypal garde la méthode avec champs cachés ?? bon pour le moment je ne vais pas me retaper tout le code d'envoi, je vais juste ajouter un petit contrôle lors de la confirmation de la commande

Parce que la plupart du temps, les commerçants vérifient le montant des transaction avant de livrer

[Seb33300]

Oui si tu aurais regardé de plus pres tout l'exemple avec des champs cachés donné par paypal, tu aurais vu que dans le code php qui suit le submit du formulaire il est prévu de contrôler le montant qui a été payé pour s'assurer qu'il est correct.