Меры по защите электронных тележек

Чтобы закрыть потенциальные бреши в системе защиты тележек, можно предпринять некоторые меры.

Очевидно, что вы можете использовать такую тележку, которая отдельно запрашивает в базе данных цены товаров и не полагается на цены, получаемые от браузеров пользова- телей в скрытых тегах ввода. Таким образом, используются только цены из базы дан- ных, и злокозненные пользователи не могут их изменять без доступа к базе данных.

Если вы предлагаете скидки некоторым пользователям, то ни в коем случае не включай- те сумму скидки в поля формы. Используйте ключ скидки (discount key), который запи- сан в базу данных, и в соответствии с которым ваша программа определяет фактический процент скидки. Например, вы можете предлагать скидку в 10% всем пользователям, которые согласились просмотреть ваш сайт и прислать свои отзывы. Когда пользователи завершают просмотр, ваша программа генерирует случайный ключ, скажем.

UV9YHT003X, который затем записывается в таблицу базы данных вместе с данными, идентифицирующими пользователя (чтобы пользователь не сумел получить эту скидку еще раз), датой окончания срока действия и процентом скидки. Чтобы пользователь по- лучил эту скидку, вы направляете ему электронное письмо со ссылкой на ваш сайт. Например, вы можете создать страницу с таким именем:

http://www.YeOldeWidgetShoppe,com/widgets/discount.php3?dn=UV9YHT003X Когда пользователь щелкает на этой ссылке, страница discount.php3 извлекает инфор- мацию о предоставленной ему скидке из базы данных. Далее пользователь оформляют заказ, причем единственный параметр, который он может видеть (и изменять)- это слу- чайный ключ. Номер скидки можно изменить только в том случае, если пользователь знает случайный ключ, генерированный для другого процента скидки. Кроме того, ему понадобятся идентификационные данные другого реального пользователя, который еще не воспользовался скидкой.

Главное здесь- проверять все дважды, и не доверять ничему, что вам сообщают пользо- ватели, если у них есть хоть малейшая возможность изменять эту информацию.

Продолжение темы:

Полезная информация