Velen van jullie zullen gelezen hebben over de site Just-eat, waar het door een beveiligingsfout mogelijk was om eten te bestellen voor een paar cent en dit af te rekenen met Ideal. Voor wie het verhaal nog niet kent:
http://www.bizz.nl/6627-just-eat-voor-al-uw-gratis-afhaalmaaltijden.html
Nu sta ik zelf op het punt om Ideal voor een klant in een (kleine) webwinkel te gaan hangen, en ik wil natuurlijk niet dezelfde fout maken. Ik heb op een heleboel plekken gelezen dat het probleem in hidden input velden zit. Met andere woorden, je maakt een form aan en geeft het bedrag dat de klant moet betalen als volgt mee:
<input type="hidden" name="amount" value="100" >
Met dergelijke hidden parameters is door de gebruiker te rommelen en zo heb je een probleem. Dat is althans wat ik gelezen heb. Misschien een stomme vraag, maar hoe moet je dit dan wel doen? Je moet op een of andere manier toch dat bedrag met je request aan Ideal meesturen. Een session variabele kan niet, want daar heeft Ideal niets aan.
En trouwens, werken veel sites die Paypal gebruiken niet op precies dezelfde manier, dus ook met zo’n hidden parameter? Loopt daar dan ook iedereen te jatten
?