當我通過IPN收到付款通知時,我需要知道哪些用戶支付了付款。在Paypal的「立即購買按鈕」表單中使用userId的自定義字段安全嗎?
推薦的方法是將一個隱藏的「自定義」字段添加到「立即購買按鈕」的表單中,該表單將由IPN傳回。
但是,我認爲惡意用戶可以利用它。例如,假設userA和userB都是siteC的用戶。 UserA知道html,他做了一個「立即購買按鈕」,但複製siteC上的內容,並將「custom」字段設置爲「userA's Id」,並以某種方式讓用戶B單擊此按鈕。
在這種情況下,當用戶B支付它時,他不會爲自己付款,而是爲用戶A.
如何解決這個問題?