EC-CUBE PayPal決済モジュールの注意点

PayPal決済モジュールはチェックが甘い？

PayPal決済モジュールは支払先のメールアドレス（receiver_email）の正当性しかチェックしていない。

支払われた金額のチェックを行っていないため、（ポストされる内容を変更など）不正な金額を支払ったとしても入金済みにしてしまう。
PayPalから届く入金確認メールの金額と違っていないか確認する必要がある。

また、支払い済みのトランザクションIDの記録やチェックも行っていないため、不正利用される可能性もあると思われる。

（たしか）PayPalからダウンロードしたPerlのサンプルスクリプトにもレスポンスが VERIFIED の場合以下のチェックを行えとある。

# check the $payment_status=Completed
# check that $txn_id has not been previously processed
# check that $receiver_email is your Primary PayPal email
# check that $payment_amount/$payment_currency are correct

ちょっとチェック不足な気がするが・・・。

つづきをどぞ
EC-CUBE PayPal決済モジュールのチェック機構を強化する