Как избежать подмены GET-параметров?

Добрый день! Есть сайт, на котором оплата связана с Яндекс Деньгами. После успешной оплаты происходит редирект на контроллер (использую фреймворк Yii2), который через модель записывает, что заказ оплачен. Параметры к нему передаются через GET. Ну и их можно подменить. Как этого избежать? Или, может, я вообще неправильно делаю?
  • Вопрос задан
  • 111 просмотров
Пригласить эксперта
Ответы на вопрос 2
webinar
@webinar Куратор тега PHP
Учим yii: https://youtu.be/-WRMlGHLgRg
После успешной оплаты происходит редирект на контроллер (использую фреймворк Yii2), который через модель записывает, что заказ оплачен.

Так там перед ридиректом идет post запрос на avisoURL и вот в нем есть возможность проверить все и записать, при редиректе этого делать ни в коем случае не надо. Или дайте ссылку на проект, буду постоянным клиентом )))
Ответ написан
SagePtr
@SagePtr
Еда - это святое
Если запрос поступил от платёжной системы, то там должно поидее быть поле hash. Как именно он формируется, смотрите в документации от платёжного шлюза, который используете, но там помимо параметров обязательно используется секретное слово, известное только вам и платёжному шлюзу, потому если поменять хоть один параметр или хоть один символ в секретном слове - то хэш не сойдётся и запрос можно считать поддельным.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы