seguridad en codigo PHP PAYPAL . PAGOS ONLINE

hola una pregunta, ustedes, que ya conocen la api de paypal, queria preguntar, una par de cosas..

1) bueno como manejan el tema del IFRAME, ami no me dejo, asi que lo redirecciono en la misma ventana, despues algo que configure en la cuenta, me devuelve a la pagina, pero pierdo los valores de la session

2) el tema de la seguridad de los datos, ya que cuando envio el formulario con todos los datos se hace por un formulario HTML comun, nada de PHP,, y facilmente se puede cambiar los datos, y esto de que no mantiene la session, es peor...

a lo sumo a lo que compra, verifico los ID, y verifico que los importes sean validos...con consultas sql... de los contrario, el formulario fue editado, por alguno que toco el formulario, antes de enviarlo ...

Refloto el tema, para no abrir uno nuevo con lo mismo y porque aún esta dentro de los plazos de tiempo para hacerlo.

Me he encontrado en la misma situación. Quiero hacer un sistema de pago por paypal de lo más simple, para 3 productos de 10, 20, 30 euros. Para esta opción introducir los botones me parecio mucho más acertado que integrar la api al completo.

Los botones, son muy faciles de insertar y funcionan a la perfección, pero me percate de lo mismo que comenta el compañero... Son simple formularios html, completamente editables "on the fly" por lo que es posible modificar los conpcetos y precios del pago y estos son aceptados por paypal (paypal te obliga a que almenos sea 0.01 el valor a cobrar).

He seguido la misma linea de pensamiento que el compañero, y he pensado en hacer la comprobación a la hora de la respuesta... pero en este punto el "cliente troll" ya ha pagado, aunque sea ese 0.01... ¿Se lo robamos impunemente por tonto? ¿hay alguna forma de predefinir en paypal que solo se acepten X valores de pago? ¿Algun tipo de forma de certificar la cantidad que solicita, token, crifado, lo que sea?.

A ver si hay suerte y alguien ha trabajado con esto y tiene algo de idea. Porque me parece un sistema bastante inseguro para provenir de paypal, si es tan unicamente simple como el formulario html

el tema del pago , del envio del formulario no lo he podido modificar.

lo envia, si o si...-SIN REALIZAR UN CONTROL, CON JAVASCRIPT, YA QUE IGUAL LO PUEDE TOCAR EL USUARIO TROLL-

pero despues de pagar el cliente...
osea ya en "paypal"- (tampoco pude hacer que el sitio de paypal se abra en un iframe)

hay una opcion de ejecutar un script.
osea, de llamar a una URL.

bueno, el tema es que llamaba a esa url y verificaba, con el ID de la compra, en una session, los datos que sean correctos.

creoq ue era asi, no recuerdo bien

Si efectivamente funciona asi el sistema... se hace el pago y luego se realiza la comprobación con la respuesta que paypal envia por su IPN.

https://developer.paypal.com/webapps...uide/IPNIntro/

Se me sigue haciendo raro, pero bueno, seguiremos trabajando en esta linea. Si saco algo más en claro volvere por aqui a comentarlo.. en principio parece que no tiene más vuelta de hoja el asunto, aunque la frase "If you do not encrypt your button code" me deja con dudas. Sigo a ello!!

Gracias por responder aldo_rengo. :D

Ya decia yo que se me hacia raro, y como soy de culo inquieto pues segui investigando un poquito más. Efectivamente los botones de paypal se pueden encriptar haciendo uso de certificados consiguiendo 2 de los principales objetivos que queriamos.

1. Quitar la posibilidad de que un usuario modifique "on the fly" los valores de los campos hidden.
2. Crear un cifrado que nos de más garantias al respecto de la seguridad. (sigue siendo completamente imprescindible las comprobaciones en el IPN, pero ya no me siento tan "violable" como antes).

Investigando llege a este tutorial que hizo el compañero Zalito12 y que se encuentra aqui en forosdelweb. Dejo el enlace para todos aquellos que llegen a este hilo puedan llegar hasta el con mayor facilidad (a mi me ha ayudado de considerable manera, no solo a entender la encriptación si no tambien el concepto global del funcionamiento de los botones y los mensajes de respuesta IPN):

http://www.forosdelweb.com/f18/tutor...l-mas-1031730/

Ya tengo mis botones dinamicos y encriptados de forma sencilla y eficaz

Un saludo!