php订单安全,电商APP订单生成,如何安全保证安全性?

于 2021-03-20 10:58:51 发布
阅读量229 收藏
点赞数
文章标签: php订单安全

目前遇到一个问题,在做一个可以购买东西的一个电商APP,在关于订单生成的安全性上,想向有经验的朋友请教一下。

APP的流程是这样(没有购物车概念),在商品页面,直接点击购买,然后填写个人的相关信息,提交生成订单。我目前的想法是这样,APP在点击购买时候,来调用服务端,获取订单token,然后在提交订单的时候,将token带上。是否生成订单取决于表单中的token与服务端存储的token是否一致,另外在订单的url上进行oauth加密(服务端与APP端约定一个KEY,进行加密)。请大家发表一下各自的想法,集思广义。谢谢。

回复内容:

目前遇到一个问题,在做一个可以购买东西的一个电商APP,在关于订单生成的安全性上,想向有经验的朋友请教一下。

APP的流程是这样(没有购物车概念),在商品页面,直接点击购买,然后填写个人的相关信息,提交生成订单。我目前的想法是这样,APP在点击购买时候,来调用服务端,获取订单token,然后在提交订单的时候,将token带上。是否生成订单取决于表单中的token与服务端存储的token是否一致,另外在订单的url上进行oauth加密(服务端与APP端约定一个KEY,进行加密)。请大家发表一下各自的想法,集思广义。谢谢。

使用POST提交,有条件可以使用HTTPS。

总价一定要在服务端计算,检测分类,商品及相关字段是否存在,也可以使用对称加密将传输的数据进行加密。

先想清楚你要哪些安全

传输安全--https

内容正确--服务器端验证

不重复提交--在流程中加入token, 由服务器保证最多被使用一次

可以参考下微信支付的统一下单接口,里面有详细的订单创建流程,个人觉得很安全,订单创建前预先拿到 token,然后一起和参数加密后传递到服务端创建订单

本文原创发布php中文网,转载请注明出处,感谢您的尊重!

陆贽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 开发商城 注意,php开发微商城要注意什么
weixin_39628343的博客
03-09 100
PHP开发微商城注意事项相对于Java,C++,C#,Python等语言来说, PHP 在 商城方面有更大的优势,有开发效率高,框架选择多,可选择的开源产品多,可以大大减少开发成本和加快产品迭代,比如基于Thinkphp框架开发出的开源商城DSMall,DSHOP,DSKMS等等,基于此类产品开发可以大大加快开发速度,让项目迅速上线,同时Thinkphp框架可直接升级。一般情况下我们在自己开发的过...
电商网站的安全性
weixin_34146410的博客
03-08 1113
瞌睡龙 · 2013/11/19 14:190x00 背景电商网站由于是直接涉及到金钱的交易,对其本身的安全性要求很高。这样才能保证普通网民在其网站做金钱交易的时候,不会发生安全问题。双11刚过,看着那一个一个突破以往的数字,让人惊叹网购的力量。但是这背后,可能存在哪些安全性的问题呢?普通网民在网购的时候应该注意些什么呢?从国业内影响力最大的漏洞报告平台wooyun上来看一下吧(拿淘宝,京东,苏宁...
PHP怎么防止脚本下单,php – 防止服务器端脚本,XSS
weixin_42139871的博客
03-20 157
是否有任何预先制作的脚本可用于PHP / MySQL以防止服务器端脚本和JS注入?我知道典型的功能,如htmlentities,特殊字符,字符串替换等,但是有一个简单的代码或一个功能,是一切的故障保护?任何想法都会很棒.非常感谢 :)编辑:通用的东西,剥离任何可能有害的东西,即.大于/小于标志,分号,像“DROP”等词?我基本上只想将所有内容压缩为字母数字,我猜……?解决方法:永远不要将任何数据输...
PHP 如何保证接口的安全性
yishoujian520999的博客
07-29 1362
APP、前后端分离项目都采用API接口形式与服务器进行数据通信,传输的数据被偷窥、被抓包、被伪造时有发生,那么如何设计一套比较安全的API接口方案呢? 一般的解决方案如下: 1、Token授权认证,防止未授权用户获取数据; 2、时间戳超时机制; 3、URL签名,防止请求参数被篡改; 4、防重放,防止接口被第二次请求,防采集; 5、采用HTTPS通信协议,防止数据明文传输; 一、Token授权认证 HTTP协议是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的,但是
[原创]商城系统下单库存管控系列杂记(一)(并发安全和性能基础认识)
weixin_33958585的博客
11-07 163
商城系统下单库存管控系列杂记(一)(并发安全和性能基础认识) 前言 参与过几个中小型商城系统的开发,随着时间的增长,以及对系统的深入研究和测试,发现确实有很多值得推敲和商榷的地方(总有很多重要细节存在缺陷)。基于商城系统,无论规模大小,或者本身是否分布架构,个人觉得最核心的一环就是下单模块,而这里面更相关和棘手的一些设计和问题,大多时候都涉及库...
基于PHP的九块九电商APP源码.zip
最新发布
10-14
6. **安全性**:了解如何防止SQL注入、XSS攻击等,保护用户数据的安全。 7. **性能优化**:如缓存策略、数据库查询优化,以提高系统的响应速度和处理能力。 8. **RESTful API**:可能使用了RESTful设计原则来构建...
电商系统-uniapp-master_电商app
09-21
电商系统-uniapp-master_电商app】是一个基于uniapp框架构建的电商应用商城小程序项目。uniapp是一个跨平台的前端开发框架,它允许开发者使用一套代码库来编写应用程序,同时支持iOS、Android、H5等多个平台。这个...
基于PHP的A3Mall APP商城系统.zip
07-17
综上所述,"基于PHP的A3Mall APP商城系统"是一个涵盖了服务器端开发、数据库交互、移动应用集成、安全性等多个方面的综合性项目。开发这样一个系统需要深入理解PHP语言特性,熟悉Web开发流程,并具备良好的用户体验...
PHP实例开发源码—商淘连锁店管理电商系统PHP版.zip
11-23
10. **安全性**:源码应遵循安全编码规范,防止SQL注入、XSS攻击等安全问题。此外,还需对敏感信息进行加密,如用户密码、支付信息等。 11. **前端技术**:虽然主要关注PHP后端,但前端技术也很重要。可能使用HTML...
团购app小程序带管理后台
08-19
综上所述,"团购app小程序带管理后台"项目涵盖了从电商平台的基础架构到特色功能的全面实现,涉及的技术栈包括前端小程序、后端PHP开发、数据库管理、服务器配置等多个层面,体现了现代电子商务应用的复杂性和综合性...
安全策略及电商购物订单简单用例
qq_34004131的博客
05-10 392
由于都是excel写的,我比较懒只能粘贴过来了 ,手敲很累的! 用例: 安全策略 补充: 1.提交订单篡改订单信息,比如金额、产品数量 2.重点接口权限验证,比如,订单退款操作,必须是登录状态 3.代金券、优惠码等促销活动,使用次数限制,如:一个订单只能使用一个代金券;优惠码使用一次后失效 4.各种促销活动,都要考虑被刷风险,尽量提高门槛,比如,绑定手机号、微信号 5.短信、邮件服务发送频率限制,以防被作为轰炸机 6.依赖第三方数据时要有兜底方案 ...
(项目随笔)关于订单系统的思考
喻小清的博客
12-11 817
订单系统几个特点: 1、历史信息多(每一条订单完成后,生成一条历史信息,并且一般情况下,久远的订单信息不回被经常查看) 2、并发量高(特别是秒杀系统生成订单,每秒会有成百上千条订单) 3、订单id必须全局唯一 一、分库分表 随着订单量的增加,数据库发展如下: 单一的数据库 一主一从 双主多从,读写分离 分表分库,提高并发 已知Mysql单表性能超过千万级别会严重下降,按照千万级...
怎样提高支付系统的安全性及稳定性?
mituan1234567的专栏
05-03 8601
http://www.yl1001.com/ask/41004/question/7711393293939791.htm 根据支付类型的不同,支付流程也各不相同,据我所知现在较流行的在线支付流程主要有以下几类: 1.网银类 像招行支付、工行支付、西联快汇等 2.综合电子钱包类 像支付宝、快钱、易宝、PAYPAL、MONEYBOOKERS、Facebook Credits等 3.虚实卡
电商网站高并发下的数据安全
java的平凡之路
11-22 1212
我们知道在多线程写入同一个文件的时候,会存现“线程安全”的问题(多个线程同时运行同一段代码,如果每次运行结果和单线程运行的结果是一样的,结果和预期相同,就是线程安全的)。如果是MySQL数据库,可以使用它自带的锁机制很好的解决问题,但是,在大规模并发的场景中,是不推荐使用MySQL的。秒杀和抢购的场景中,还有另外一个问题,就是“超发”,如果在这方面控制不慎,会产生发送过多的情况。我们也曾经听说过,
订单系统:从0到1设计思路
yuandengta的博客
09-27 773
概述 本文主要讲述了在传统电商企业中,订单系统应承载的角色,就订单系统所包含的主要功能模块梳理了设计思路,并对订单系统未来的发展做了一些思考。 1、订单系统在企业中的角色 在搭建企业订单系统之前,需要先梳理企业整体业务系统之间的关系和订单系统上下游关系,只有划分清业务系统边界,才能确定订单系统的职责与功能,进而保证各系统之间高效简洁的工作。 2、订单系统与各业务系统的关系 (1)对外系统: 所有给企业外部用户使用的系统都在这一层,包括官网、普通用户使用的C端,还包括给商户使用的商家后台.
订单系统中并发问题和锁机制的探讨
架构文摘
01-25 1417
问题由来假设在一个订单系统中(以火车票订单系统为例),用户A,用户B都要预定从成都到北京的火车票,A、B在不同的售票窗口均同时查询到了某车厢卧铺中、下铺位有空位。用户A正在犹豫订中铺还是下铺,这时用户B果断订购了下铺。当用户A决定订下铺时,系统提示下铺已经被预订,请重新选择铺位。在这个系统场景中,我们来探讨一下,火车票系统是怎样处理并发事件以及怎么利用锁机制来避免重复订票的。设想的方案方案1:为了
php解决抢购秒杀抽奖等大流量并发入库导致的库存负数的问题
younger_z的专栏
01-22 1309
最近在做一个团购项目,遇到个问题,就是在抢购、秒杀、抽奖等活动时,库存数量有限,但是同时下单人数超过了库存数量,就会导致商品超售问题。那么我们怎么来解决这个问题呢,我的思路如下: 我们知道数据库处理sql是一条条处理的,假设购买商品的流程是这样的: sql1:查询商品库存 ? 1 2 3 4 5 if(库存数量 > 0)
2018年最新PHP面试题
热门推荐
snailwang的博客
03-18 14万+
面试之前多看看公司的资料,可以看出面试的公司主要做什么,电商,数据库,php函数,sql的优化,接口,session和cookie等经常会问到,都是必问之题,这其中有一部分题目摘抄自网络,回答也不错 1.请自我介绍一下? 答:我叫xxx,来自北京,20xx年毕业于xx大学计算机xx系,毕业后在武汉从事了x年的php开发工作,公司是一个外包公司,主要做微信开发,公众号推广,商城,论坛的开...
浅析电商防止恶意下单
weixin_30362233的博客
09-13 419
本文来自网易云社区如果是单个案件,整个交易过程中未被系统识别到异常的话,正常流程是:当货物送到不知情的收件人家里时,对方发现不是自已买的东西,会拒绝收货。最多是联系到电商的客服,配合处理这个订单的售后情况。 但如果这种情况是批量交易,那电商后台的防控逻辑可能有如下方面: 1.在产品端,提交订单环节,选择货到付款这种支付方式时,可以做些限制,如查询他当前还有多少笔货到付款但交易未完成的订单,设一个...
APP 网络安全合规详细⼿册-内部版
08-22
本文档主要涵盖了APP网络安全合规的方方面面,旨在为开发者和企业提供建议和指导,确保APP在运营过程中的合法性和用户隐私保护。手册列举了30个常见重点检测项,并对每个检测项进行了详细解读,包括检测标准、违规...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值