脑袋里突然蹦出来一个这样的问题,万一攻击者抓包后分析,然后又伪造,不断的尝试请求“修改订单成功”的哪个文件怎么办呢?
Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
4
686
收藏
举例:支付宝
可能性很小,因为你的没一个订单都会在支付宝形成一个唯一的order id,或许他可以修改你本地系统的订单状态,但是支付宝那里的order状态可不是那么容易被修改的。
一般是,当支付完毕后,支付宝会给你的服务器发送一个信号,告之订单是否支付成功,具体的例子就是:支付页上有个弹层,上面有两个按钮,一个是支付遇到问题,支付成功。一般是支付完毕后,到这个页面上点击支付成功,这个时候你本地订单状态应该已经通过阿里的信号通知更正为已支付或者未支付。
所以你要加强你本地系统的order状态就行了,再不济,拿本地与支付宝那里人肉对比。
我知道的,大概也就这点儿。把自己代码写健壮点儿。