Cześć
Zastanawia i zarazem niepokoi mnie jedna bardzo ważna rzecz.
Załóżmy, że mamy stronę www z formularzem html, tam mamy pole select i na przykład listę dni miesiąca od 1 do 30.
Wybieramy jedną wartość i wysyłamy ją do PHP.
Jak wiadomo, za pomocą narzędzi dla webmasterów możemy zmienić value takiego pola na na przykład 1000.
Formularz wyśle się z taką wartością.
O ile w kodzie php możemy sprawdzić czy POST jest z przedziału 1 do 30 to pytanie brzmi jak poradzić sobie z następującym przypadkiem:
Mamy stronę z systemem płatności PayPal.
Na stronie znajduje się formularz z ukrytymi polami, który jest wysyłany bezpośrednio na stronę paypala.
Co jeśli w tych ukrytych polach zamiast 100złotych wpiszemy 1zł ? Okazuje się, że taka właśnie wartość wysyła się do paypala i ląduje w podsumowaniu zamówienia.
Nie jesteśmy w stanie zwalidować formularza własnym kodem, ponieważ on trafia prosto na strone paypala.
Jak można tą lukę rozwiązać ?