Saul4Goodmann adlı üyeden alıntı: mesajı görüntüle
daha detaylı anlatayım

200 tllik ürünü sepete ekledim satın aldım, incele de network kısmından callback sayfasına giden post kısımlarından paymentId değerini kopyaladım.
ardından 5000 tllik ürünü sepete ekledim ve ödeme kısmında ödeme yapmadan çıktım. Bu siparişinde orderId değerini aldım.

ardından callback linkine post gönderdim ödemesini yaptığım paymentId ve ödemesini yapmadığım woocommerce siparişimizin idsi ni
kodlar kısmında bu iki değeri kullanarak paymentId ye baktı ve ödenmiş olduğunu döndü, kod içinde direkt ödenmişse bizim ödemediğimiz el ile girdiğimiz orderId değerini kullanıyor.

eğer herhangi bir kontrolü varsa onu gösterebilirsiniz hocam kodu
hocam sen sepet ve çoklu order mantığıyla bakıyorsunda olaya tamam yine senin dediğin gibi düşünelim. Ama bu modüller eklentiler öyle sürekli update alan yazılımlar değil wordpress tarafında Wc_Order - wc_clean gibi function'lara parametre olarak veriyor orada tekrardan sorgu ile paymentId ve OrderID'nin ilişkisi kontrolü yapılması çok muhtemeldir oradaki kodları bilmiyorum wordpressle ilgilenmem fakat o söylediğim id'lerin verildiği function'lara erişip id'ler ile napıyor kontrol edersen orada herşey ortaya çıkar dediğine göre güvenlik açığı oluşturur bu ama çok aptalca olur orderID'nin paymentID ile ilişkisinin kontrol edilmemesi ama vardır görünmüyor ilettiğin kodlarda Wc_order wc_clean gibi functionlar ama oraya bakmanı öneririm yinede güvenlik açığı olcağını sanmam olsaydı içinden geçerlerdi şimdiye kadar