Estoy desarrollando extensiones de pago para múltiples plataformas de comercio electrónico basadas en php para una empresa que tiene su propio procesador de pagos (solo toman la solicitud posterior; hacen los cheques de pareja y los procesan hacia una pasarela de pago real).
Su mecanismo es simple y simple (y arriesgado, supongo). Quieren que desarrolle extensiones que, al final, hagan una llamada posterior a su procesador de pagos de esta manera:
<form method="post" action="https://pp.payment-processor-xyz.com">
<input name="order-amount" type="hidden" value="90.00" />
<input name="order-id" type="hidden" value="1" />
<input name="user-email" type="hidden" value="[email protected]" />
....
....
¿Cómo les digo (o demuestro, quizás) que esto es arriesgado y que un cliente puede interceptarlo fácilmente?
PD: su procesador no tiene acceso al inventario de carros de comerciantes, eso es un trabajo de complemento.