Sto sviluppando estensioni di pagamento per più piattaforme di eCommerce basate su php per una società che ha un proprio processore di pagamento (si limita a richiedere post, fa un paio di assegni e lo processa verso un vero gateway di pagamento).
Il loro meccanismo è semplice e semplice (e rischioso, suppongo). Vogliono che sviluppi estensioni che, alla fine, effettuino una chiamata al loro processore di pagamento in questo modo:
<form method="post" action="https://pp.payment-processor-xyz.com">
<input name="order-amount" type="hidden" value="90.00" />
<input name="order-id" type="hidden" value="1" />
<input name="user-email" type="hidden" value="[email protected]" />
....
....
Come posso dire loro (o dimostrare, forse) che questo è rischioso e che questo è facilmente intercettabile da un cliente e alterato?
PS: il loro processore non ha accesso all'inventario del carrello del commerciante, questo è il lavoro del plugin.