Не удается получить ошибку при оплате Web-money

@Katerina1993 · Регистрация: 17.01.2017

Студворк — интернет-сервис помощи студентам

Проходила видеокурс как прикрутить кошелек на сайт. После того как закончила с кодом решила проверить можно подменить кошелек и пройдет ли оплата. У автора в случае подмена кошелька оплата не проходит. А у меня проходит. Вот весь код.

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<?php
 
...
 
$p = clearData($_GET["page"],"sf");
if($p == "success") echo "Платеж осуществлен успешно!";
else if($p == "fail")
{
 exit("Невозможно совершить платеж");
}
 
if($_POST["LMI_PREREQUEST"] == 1) 
{
   if($_POST["LMI_PAYEE_PURSE"] == "номер кошелька") echo "YES";
}
else
{
  $key = $_POST['LMI_PAYEE_PURSE'].$_POST['LMI_PAYMENT_AMOUNT'].$_POST['LMI_PAYMENT_NO']. $_POST['LMI_MODE'].$_POST['LMI_SYS_INVS_NO'].$_POST['LMI_SYS_TRANS_NO'].$_POST['LMI_SYS_TRANS_DATE'].'test123'.$_POST['LMI_PAYER_PURSE'].$_POST['LMI_PAYER_WM'];
   if(strtoupper(hash('sha256',$key)) != $_POST['LMI_HASH']) exit;
   $id = trim($_POST["user_id"]);
   
   $row = mysql_fetch_array(mysql_query("SELECT user FROM acc WHERE id=$id"));
   if($row["user"])
   {
      mysql_query("INSERT into payment (user, amount) VALUES('$row[user]', $_POST[LMI_PAYMENT_AMOUNT])");
   }
}
?>

Меня интересует вот эта строка она отвечает за сравнения и подмену кошелька.

PHP
1
if($_POST["LMI_PAYEE_PURSE"] == "номер кошелька") echo "YES";

Без этой строки автор сказал что все будет плохо работать однако я удалила эту строку и все работает и платежи проходят. Делала подмену значения этой строки и все равно все платежи проходят. В чем дело?

@plohoyav · 13.06.2017, 17:04

По документации http://wiki.webmoney.ru/projec... 0Interface
LMI_PAYEE_PURSE - Кошелек продавца
Отключив проверку мошенник может подменить кошелёк

@Katerina1993 · 14.06.2017, 03:01 **[ТС]**

У меня в этом и заключается проблема я вписываю совсем другой кошелек в проверки для тестирования и платеж все равно проходит и как исправить не знаю?

@plohoyav · 14.06.2017, 18:01

Вместо проверки выполнения условия, надо сделать проверку невыполнения условия

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
<?php
 
...
 
$p = clearData($_GET["page"],"sf");
if($p == "success") echo "Платеж осуществлен успешно!";
else if($p == "fail")
{
 exit("Невозможно совершить платеж");
}
 
if($_POST["LMI_PREREQUEST"] == 1) 
{
   if($_POST["LMI_PAYEE_PURSE"] !== "номер кошелька") die('HACKER');
   echo "YES";
}
else
{
   if($_POST["LMI_PAYEE_PURSE"] !== "номер кошелька") die('HACKER');
   $key = $_POST['LMI_PAYEE_PURSE'].$_POST['LMI_PAYMENT_AMOUNT'].$_POST['LMI_PAYMENT_NO']. $_POST['LMI_MODE'].$_POST['LMI_SYS_INVS_NO'].$_POST['LMI_SYS_TRANS_NO'].$_POST['LMI_SYS_TRANS_DATE'].'test123'.$_POST['LMI_PAYER_PURSE'].$_POST['LMI_PAYER_WM'];
   if(strtoupper(hash('sha256',$key)) != $_POST['LMI_HASH']) exit;
   $id = trim($_POST["user_id"]);
   
   $row = mysql_fetch_array(mysql_query("SELECT user FROM acc WHERE id=$id"));
   if($row["user"])
   {
      mysql_query("INSERT into payment (user, amount) VALUES('$row[user]', $_POST[LMI_PAYMENT_AMOUNT])");
   }
}
?>

@Katerina1993 · 15.06.2017, 02:55 **[ТС]**

Теперь не чего не передает и выдает сообщение HACKER может быть он работает только с доллорами, т.е. кошелек Z. Или может проблема в кодировки у меня кодировка страницы utf-8. Заголовок страницы тоже utf-8.

PHP
1
header("Content-Type: text/html; charset=utf-8");

Или же для рублей нужно специально настройки делать. Я вообще не пониманию неужели скрипту так сложно сделать проверку на идентичность двух значений?

Добавлено через 8 минут
Вот еще html код формы отправки денег.

HTML5
1
2
3
4
5
6
7
<form action="https://merchant.webmoney.ru/lmi/payment.asp" method="POST">
 <input type="text" name="LMI_PAYMENT_AMOUNT" value="50.00">
 <input type="hidden" name="user_id" value="1">
 <input type="hidden" name="LMI_PAYMENT_DESC_BASE64" value="значение">
 <input type="hidden" name="LMI_PAYEE_PURSE" value="R - номер кошелька продавца">
 <input type="submit" class="wmny" value="Пополнить счет">
</form>

@plohoyav · 15.06.2017, 09:50

можно скачать готовый модуль вебмани, например, для друпал, и сравнить с тем, что есть
https://www.drupal.org/project... t/releases

или публикуйте полностью код вашего модуля webmoney (или сайта, допустим в архиве), а также скриншот страниц настроек приёма платежей webmoney

обычно вебмани не нужно использовать, так как кошельки блокируют и люди теряют деньги, это плохая репутация для магазина, лучше подключить оплату смс (мегафон, мтс, билайн, теле2) и картами visa

@Katerina1993 · 18.06.2017, 06:31 **[ТС]**

Удалось исправить ошибку нужно было всего лишь поставить галочку "Передавать параметры в предварительном запросе". Автор видеоурока который я проходила сказал, что md5 устарел, чем мне тогда шифровать пароли если я например буду делать регистрацию с авторизацией?

@Para bellum · 18.06.2017, 06:41

Сообщение от Katerina1993

чем мне тогда шифровать пароли если я например буду делать регистрацию с авторизацией?

Вот, посмотрите:
http://php.net/manual/ru/faq.p... stpractice

@plohoyav · 18.06.2017, 08:05

шифровать пароли не обязательно, достаточно экранировать все пользовательские данные в mysql запросах

@Para bellum · 18.06.2017, 09:33

plohoyav, и Вам советую прочитать ту статью, по ссылке выше.

@plohoyav · 18.06.2017, 10:55

А я вам не советую читать ту статью.

Новые блоги и статьи Все статьи Все блоги /
http://iceja.net/ математические сервисы iceja 20.01.2026 Обновила свой сайт http:/ / iceja. net/ , приделала Fast Fourier Transform экстраполяцию сигналов. Однако предсказывает далеко не каждый сигнал (см ограничения http:/ / iceja. net/ fourier/ docs ). Также. . .	http://iceja.net/ сервер решения полиномов iceja 18.01.2026 Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь постоянного тока с R, L, C, k(ключ), U, E, J. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа, решает её и находит переходные токи и напряжения на элементах схемы. . . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .
Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .

Не удается получить ошибку при оплате Web-money

Решение

Решение

@plohoyav 313 / 312 / 221 Регистрация: 11.07.2015 Сообщений: 1,107
	13.06.2017, 17:04
	По документации http://wiki.webmoney.ru/projec... 0Interface LMI_PAYEE_PURSE - Кошелек продавца Отключив проверку мошенник может подменить кошелёк 0

@Katerina1993 403 / 19 / 5 Регистрация: 17.01.2017 Сообщений: 572
	14.06.2017, 03:01 [ТС]
	У меня в этом и заключается проблема я вписываю совсем другой кошелек в проверки для тестирования и платеж все равно проходит и как исправить не знаю? 0

@plohoyav 313 / 312 / 221 Регистрация: 11.07.2015 Сообщений: 1,107
	15.06.2017, 09:50
	можно скачать готовый модуль вебмани, например, для друпал, и сравнить с тем, что есть https://www.drupal.org/project... t/releases или публикуйте полностью код вашего модуля webmoney (или сайта, допустим в архиве), а также скриншот страниц настроек приёма платежей webmoney обычно вебмани не нужно использовать, так как кошельки блокируют и люди теряют деньги, это плохая репутация для магазина, лучше подключить оплату смс (мегафон, мтс, билайн, теле2) и картами visa 0

@Katerina1993 403 / 19 / 5 Регистрация: 17.01.2017 Сообщений: 572
	18.06.2017, 06:31 [ТС]
	Удалось исправить ошибку нужно было всего лишь поставить галочку "Передавать параметры в предварительном запросе". Автор видеоурока который я проходила сказал, что md5 устарел, чем мне тогда шифровать пароли если я например буду делать регистрацию с авторизацией? 0

@plohoyav 313 / 312 / 221 Регистрация: 11.07.2015 Сообщений: 1,107
	18.06.2017, 08:05
	шифровать пароли не обязательно, достаточно экранировать все пользовательские данные в mysql запросах 0

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	18.06.2017, 09:33
	plohoyav, и Вам советую прочитать ту статью, по ссылке выше. 0

@plohoyav 313 / 312 / 221 Регистрация: 11.07.2015 Сообщений: 1,107
	18.06.2017, 10:55
	А я вам не советую читать ту статью. 0