Наверно каждый из нас тем или иным образом проводил некие итерации с сайтами, например, купил что-то в интернет-магазине, сделал ставку на лот в аукционе и так далее. Но, возникает вопрос, как мы уже знаем что это действительно было сделано, ведь JavaScript, отвечающий за интерфейс пользователя, работает на компьютере пользователя и исполняется именно в браузере пользователя, то есть обычный человек может подкрутить данные отправки и не заплатив ни копейки получит желаемое. Но что же делать? Проверять каждый запрос для каждого товара достаточно накладно (в некоторых случаях), поэтому остаётся создавать некий алгоритм, проверяющий реквизиты и что главное — работоспособность оных, или же вы можете создать ключ шифрования, который генерируется только при обычном указании данных, то есть если пользователь своими силами всё добавляет, то машина проверки выдаёт ошибку, ибо она просто не поймёт, что было отправлено в виде данных.
Поговорим об этом чуть подробнее, потому что обычно о подобном задумываются, когда начинают понимать, что работают себе в убыток… кстати говоря, такая проблема актуальна только при создании своей системы платежей, так что если вы используете уже готовые реализации, которые требуется только прицепить и всё, то можете дальше не читать, однако стоит читать дальше, если вы используете заготовок платёжной системы, то есть некий API платёжного сервиса через который планируется совершать всякого рода товарно-денежные отношения, то тут так же следует поработать именно что с серверной частью вашего сайта, дабы предотвратить подобные инциденты. Почему с серверной, хотя я говорил о нагрузке и прочем, всё потому, что к серверной части имеете доступ только вы, а к JavaScript имеет доступ кто угодно, поэтому как не извращайтесь в написании кода, его рано или поздно (скорее, первое) вскроют и повесят некоторое количество проблем вам на шею.
Итак, основная проблема в проверке запросов, посылаемых пользователем. У вас есть целых семь уровней передачи данных, при должном навыке вы можете взаимодействовать сразу с несколькими из них или с каждым отдельно, однако не стоит углубляться в это, ибо хостер вам спасибо не скажет да и вы банально рискуете создать дыру в защите и проблем будет больше, чем от переделок JavaScript. По этой же причине я не могу давать прямых советов к действию, ведь метод, способный помочь в одной системе — навредит в другой. Поэтому, прежде всего ознакомьтесь с особенностями вашего серверного железа и софта, дабы примерно понимать с чем вы работаете и ознакомитесь с рекомендациями по использованию API, в справочных руководствах можно найти много чего интересного. Лично я всегда использовал MD5 шифрование, когда для взлома нужно действительно постараться и особого старания от сервера при проверке не требуется.
Что же, в принципе это всё, что вам нужно знать для начала построения защиты транзакций на вашем сайте!