+- Sponsor-Board.de (https://www.sponsor-board.de)
+-- Forum: Community (/forumdisplay.php?fid=56)
+--- Forum: Hilfe (/forumdisplay.php?fid=102)
+---- Forum: Scripting (/forumdisplay.php?fid=108)
+---- Thema: Sicherheitslücke PHP... (/showthread.php?tid=64928)
Sicherheitslücke PHP... - Dyroxplays - 02.05.2018 17:56
Hallo,
Ich programmiere zur Zeit einen kleinen Shop anhand von php...
Der Shop wird nur mit PayPal bezahlt...
Und ich habe im Code eine abfrage, ob er von paypal.com kommt (da man nach dem kauf auf die seite weiterverlinkt wird)
So meine Abfrage:
$comesfrom = $_SERVER["HTTP_REFERER"];
if(strpos($comesfrom, 'https://www.paypal.com') === 0){
Aber wenn ich jetzt zB auf Paypal.com gehe und da anhand des Editors vom Browser einen Link auf den Kauf-weiterleitungslink packe und draufklicke erkennt meine Seite, dass er von Paypal kommt.
Wisst ihr wie ich die Sicherheitslücke beheben kann?
PS: Ist ein Privat-PayPal-Acc und kein Geschäftskonto!
RE: Sicherheitslücke PHP... - KoKsPfLaNzE - 02.05.2018 18:01
wenn du pruefen moechtest ob die zahlung wirklich eingegangen ist, musst du die ipn schnittstelle nutzen
RE: Sicherheitslücke PHP... - Dyroxplays - 02.05.2018 18:05
Okay, danke werde mir das mal anschauen
RE: Sicherheitslücke PHP... - Dyroxplays - 05.05.2018 14:22
So, hab jetzt einfach mal "paypal checkout.js"-Script benutzt & funktioniert alles, so wie es soll.
Nur der MySQL-Part funktioniert noch nicht...
onAuthorize: function(data, actions) {
return actions.payment.execute().then(function() {
window.alert("Payment Complete!");';
$mysqli->query(SQL);
echo'});
}
Der soll praktisch, wenn es angenommen wurde, in die DB etwas eintragen, nur er tuht es schon wenn man bereits die Seite neuladet, also er macht es immer und es soll eig nur in die DB eintragen, wenn Payment completet wird...
zB der window.alert funktioniert nur der mysql part eben noch nicht...
Weiß Jemand wie man das machen kann? Mein Ansatz war, dass ich einfach eine externe Seite wieder aufrufe wo das mit dem MySQL gemacht wird, aber da ist dann wieder die Sicherheitslücke und hier so direkt wäre keine, wenn ich mich nicht irre
RE: Sicherheitslücke PHP... - KoKsPfLaNzE - 05.05.2018 16:12
1. du mixed JS und PHP, das wird nicht gehen, also zumindest nicht ohne weiteres, sowas geht ist aber sehr sehr sehr unschön und ist nicht was du willst.
2. hinterlege doch einfach ein IPN Script was gecallt werden soll von PayPal, sowas wird nicht vom User aufgerufen sondern das macht der PayPal Service, wo du dann auch noch mal PayPal anfragst für die Status der Bezahlung.
PS: es gibts auch noch eine Integration wo der User dich berechtigt die Zahlung durch zuführen, dann brauchst du nicht über IPN gehen, sondern du callst ja die API von PayPal und führst die Zahlung aus.
Das sind die sachen an die ich mich so erinnere, das ist aber auch schon paar Jahre her.
RE: Sicherheitslücke PHP... - Dyroxplays - 06.05.2018 14:03
Ich frage mich, wieso mein Thema wieder mal ein Dislike bekommen hat, ich mein ich darf doch wohl Fragen, wenn ich nicht weiterkomme?
Ich denke ich hab's gelöst, habe es anhand von Cookies gemacht.
MFG
PS: Ein großes dank an @KoKsPfLaNzE!