Informationer synlige i URL-linien...

Alt vedrørende sikkerhed og sikkerhedshuller ved brug af OsCommerce.

Redaktør: Redaktionen

Skriv et svar

Informationer synlige i URL-linien...

Indlægaf hertugweile » 2006-02-12 21:04

Hej forum.

Jeg har implementeret en shopløsning, baseret på OSCommerce, men undrer mig over en ting:

Når man handler - og når til det punkt i processen, hvor ens transaktionsudbyder kaldes (for mit vedkommende DanDomain), bliver informationerne tilsyneladende ikke postet.

URL'en ser f.eks. således ud:
https://pay.dandomain.dk/securetunnel.a ... encyID=DKK

Men er det særlig hensigtsmæssigt at sende dem som GET? Gæsten kan måske på en eller anden måde misbruge oplysningerne. Jeg kunne f.eks. ændre beløbet...

Kigger jeg i filen checkout_pbscc.php (eksternt DanKort modul), står der bl.a. følgende linier:
...} else if (MODULE_PAYMENT_PBSCC_GATEWAY == 'DanDomain') {
echo tep_draw_form('checkout_pbscc_payment', 'https://pay.dandomain.dk/securecapture.asp' , 'post', 'onsubmit="return check_pbscc_form();"');

Her kaldes serveren åbenbart med "post", men hvorfor kan jeg så stadig se informationer i URL?

Kan nogen hjælpe?

Mvh. Anders
Brugeravatar
hertugweile
Novice
Novice
 
Indlæg: 5
Tilmeldt: 2005-10-5 14:15
Geografisk sted: Kbh.
Top
Skriv et svar

Tilbage til OsCommerce sikkerhed

Hvem er online

Brugere der læser dette forum: Ingen tilmeldte og 1 gæst

POWERED_BY
Danish translation & support by Olympus DK Team
cron