我是paypal API的新手,今天我读了一篇文章说:对于一个坏人来说改变paypal形式的输入值(比如金额)非常简单。
所以我没有把我的代码放在html标记中,而是决定通过ajax将它带到下面:
<div id="result"></div>
$.post({'action.php', {}, function(data)
{
$('#result').html(data);
}, , 'html');
在我的页面action.php中,我把这个简单的代码:
<?php
echo '<input type="hidden" name="amount" value="99">';
?>
我的问题是:在这种情况下,坏人可以更改此输入的值吗?
由于
答案 0 :(得分:2)
是的,他们当然可以。
使用浏览器附带的Web开发人员工具或使用firebug,他们可以在 AJAX调用之前更改隐藏字段或JavaScript值的值。
您正在添加一个非常薄的混淆层,任何具有Web开发经验的人都可以轻松完成。