According to my knowledge, hidden form fields are an alternative for HTTP's stateless nature. They act as a session token, much like cookies do. How can one use hidden values to modify prices?
I campi modulo nascosti causano l'invio di alcuni dati con un modulo. Ad esempio:
<form method="POST" action="/post_answer">
<textarea name="answer"></textarea>
<input type="hidden" name="question_id" value="161719">
</form>
In questo modo, se scrivo una risposta nella textarea, il server sa che questa risposta è per la domanda 161719.
Questo è diverso da un token di sessione. Un token di sessione è memorizzato in un cookie e identifica la sessione. Quello che forse vuoi dire è che l'ID della domanda potrebbe essere memorizzato nella sessione. È vero, con un leggero cambiamento di comportamento: se visito più domande in più schede e le rispondo senza ordine, l'ID della domanda nella sessione non sarà corretto. Quello pubblicato con la risposta nel campo modulo nascosto sarà ancora corretto.
Quindi, come puoi modificare i prezzi? Se il modulo ha il seguente aspetto:
<form method="POST" action="/finish_order">
Enter your shipping address: <textarea name="address"></textarea>
<input type="hidden" name="price_to_pay" value="$123.45">
<input type="hidden" name="order_id" value="6789">
</form>
Qui price_to_pay
viene inviato a finish_order
e ti viene addebitato $ 123,45. Tuttavia, è possibile modificare facilmente questo valore per addebitare meno. Se questo funziona e se il tuo ordine continua a essere disponibile dipende dall'implementazione del sito Web e dai controlli procedurali in atto.