Jak wszyscy wiemy paypal to jedna z najbardziej dziurawych usług dostępnych w internecie. No ale niestety klienci czasami tego wymagają aby ich sklep(lub inna aplikacja wymagała tego). Jak wiadomo wystarczy skopiować url z:

[HTML] pobierz, plaintext 
<input type="hidden" name="return" value="link_do_strony_po_płatności" />
[HTML] pobierz, plaintext 

ctrl + u i możesz sobie ściągnąć sprzedawaną mp3 albo e-zin za friko.
Myślałem jak się przed tym zabezpieczyć. I tu przedstawie swoje przemyślenia.

Metoda I: Sprawdzać url z którego przyszedł odwiedzający po płatności.
Zaltety: prostota.
Wady: Wyłączysz JS i masz to samo.

Metoda II: Po kliknięciu Buy Now nie bawić się w forma z hiddenami. Poprostu przekierować cUrl em wszystkie dane z posta żeby user ich nie mógł zobaczyć. Można zobaczyć co się postem wysyła. Ale to już nie jest aż tak proste jak ctrl + u.
Zalety: względne bezpieczeństwo
Wady: dochodzi jeszcze jeden krok w zakupach.

Metoda III: Specjalne konto na paypalu z możliwością uploadu certyfikatu(publik key, fingerprint) RSA.
Zalety: Szyfrowane połączenie.
Wady: Szybko działa wyłącznie przez api które jest dostępne z ASP i JSP ( bo do nich jest SDK napisane a o pehapie zapomnieli.

Błagam o pomoc bo nic innego mi do głowy nie przychodzi. Jak narazie obstawiam za Metodą numer 2.

Pozdrawiam,
mmx3

Pomysły ok, prośba też... tylko dlaczego w dziale OOP?
Przenoszę na PHP

no to nikt nie dostanie pomógł sorry za to że w złym dziale. ale znalazłem klasę co robi paypala... ale jako formularz... więc nie pisałem o niej.