In che modo Paypal convalida l'importo della transazione se l'acquirente ha modificato l'importo dell'acquisto utilizzando l'attacco di manomissione del parametro http?
How does Paypal validate the transaction amount?
Non penso che lo facciano, il più delle volte. In passato Google Checkout richiedeva carrelli acquisti firmati per impostazione predefinita, il che avrebbe certamente impedito la manomissione, ma richiedeva una programmazione sul lato server non banale. Mi aspetto che questa funzione sia stata disattivata da almeno il 90% degli sviluppatori web che si interfacciavano con Google Checkout.
Non c'è una reale necessità di convalidare prima di effettuare l'ordine. Il venditore può semplicemente controllare gli importi sul lato di evasione dell'ordine. È meno codice per farlo in questo modo, e non c'è un reale bisogno di impedire a qualcuno di pagare l'importo sbagliato di proposito - semplicemente non li servi con quello che stavi vendendo e poi si comportano tutti confusi quando chiedono i loro soldi indietro per alzarsi i nervi il più possibile. Questo si basa sull'esperienza personale che gestisce più siti che accettano pagamenti tramite PayPal.