Эмитация отправки POST формы

[tarya]

Эмитация отправки POST формы

Добрый день друзья.

У меня такой вопрос, ищу совета. Пришлось делать на сайте, оплата кредиткою через банк.

Ситуация такая, человек заполняет (в нашем случае) стоимость в форму, нажимает "отправить", вся форма летит на сайт банка, в банке вводятся реквизитные данные платежной карты, подтверждается оплата, сервер возвращает на страницу откуда начали производить оплату с статусом завершения операции.

Итак. Во время передачи стоимости к банку летят данные из скрытых полей, всякие идентификаторы магазина, и много еще чего, порядка 15 полей. Все они по примеру выставлены типом hidden - и в поля уже внесено все. Просто начиная делать я подумал - а есть ли это безопасно - так вводить всякие данные, идентификаторы терминала и все это скрытыми полями которые каждый может просто править.

Появилась идея отправлять данные через fsockopen - но отправить то их можно, но как сразу и клиента сайта перенаправить на сайт банка, своего рода сымитировать отправку данных как через простую форму но средствами fsockopen

Спасибо за советы.

 

[HraKK]

CURL не пробовали?

 

[tarya]

Автор оригинала: HraKK
CURL не пробовали?

Нет, не пробовал и не слышал. Уже полез почитать что это такое.

Спасибо.

 

[Вурдалак]

Пользователь доверяет все свои данные твоему сайту что ли?

 

[tarya]

Нет, мне пользователь вообще ничего не доверяет, просто - стоит ли все засовывать а хидден поля чтоб пользователь их видел? Если это накладно - конечно легче пойти по известному пути, сделать форму и не мучать себя.

 

[Вурдалак]

Что значит «ничего не доверяет»? А что «летит на сайт банка»?

 

[tarya]

С сайта банка летит только флажок как прошла операция, успешно или нет.

 

[Dovg]

У всех подобных сервисов есть инстукция как с ними работать.

Не надо просить пользователя вводить номер карточки и срок ее действия на своем сайте, особенно по http.

 

[tarya]

Нет нет, инструкция есть, и вводят данные о карточке только на сайте банка.

На моей стороне вводится только одно поле - сумма и все. И то сумма потому что фиксированной цены для услуги нет, как договорятся.

Ясно, не буду страдать, сделаю все как просят через форму и скрытые поля, так будет быстрее.

 

[fixxxer]

>>>Итак. Во время передачи стоимости к банку летят данные из скрытых полей, всякие идентификаторы магазина, и много еще чего, порядка 15 полей. Все они по примеру выставлены типом hidden - и в поля уже внесено все. Просто начиная делать я подумал - а есть ли это безопасно - так вводить всякие данные, идентификаторы терминала и все это скрытыми полями которые каждый может просто править.


По HTTPS - безопасно.

А по HTTP такое ни в одном банке не может быть, потому что не может быть никогда. Если это действительно банк, а не какая-то левая фигня.

 

[tarya]

Все бегает по HTTPS конечно.

 

[С.]

Просто начиная делать я подумал - а есть ли это безопасно - так вводить всякие данные, идентификаторы терминала и все это скрытыми полями которые каждый может просто править.

В этом ничего опасного нет. Что может произойте, если "злоумшленник" подменит идентификторы? Вы ничего не теряете.

 

[Активист]

> Что может произойте, если "злоумшленник" подменит
> идентификторы
Надо зарегистрироваться в этом банке сайт, написать троянчег, который бы и подменял эти данные

Действительно, автор ничего не теряет.