Sponsor-Board.de
Thema geschlossen  Thema schreiben 

Sicherheitslücke PHP...

Verfasser Nachricht

Beiträge: 182
Bewertung: 2
Registriert seit: May 2015
Status: offline


Beitrag: #1
Sicherheitslücke PHP...

Hallo,
Ich programmiere zur Zeit einen kleinen Shop anhand von php...
Der Shop wird nur mit PayPal bezahlt...
Und ich habe im Code eine abfrage, ob er von paypal.com kommt (da man nach dem kauf auf die seite weiterverlinkt wird)
So meine Abfrage:

PHP-Code:
$comesfrom $_SERVER["HTTP_REFERER"];
if(
strpos($comesfrom'https://www.paypal.com') === 0){ 

Aber wenn ich jetzt zB auf Paypal.com gehe und da anhand des Editors vom Browser einen Link auf den Kauf-weiterleitungslink packe und draufklicke erkennt meine Seite, dass er von Paypal kommt.
Wisst ihr wie ich die Sicherheitslücke beheben kann?


PS: Ist ein Privat-PayPal-Acc und kein Geschäftskonto!


Homepage: LackZ.de
Teamspeak: LackZ.de
[Link: Registrierung erforderlich]

02.05.2018 17:56
 
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden

Beiträge: 343
Bewertung: 7
Registriert seit: May 2011
Status: offline


Beitrag: #2
RE: Sicherheitslücke PHP...

wenn du pruefen moechtest ob die zahlung wirklich eingegangen ist, musst du die ipn schnittstelle nutzen


WebEntwickler mit den Schwerpunkten PHP-Backend, PHP-Frontend, jQuery, HTML, CSS

Github: [Link: Registrierung erforderlich]

02.05.2018 18:01
 
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden

Beiträge: 182
Bewertung: 2
Registriert seit: May 2015
Status: offline


Beitrag: #3
RE: Sicherheitslücke PHP...

Okay, danke werde mir das mal anschauen


Homepage: LackZ.de
Teamspeak: LackZ.de
[Link: Registrierung erforderlich]

02.05.2018 18:05
 
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden

Beiträge: 182
Bewertung: 2
Registriert seit: May 2015
Status: offline


Beitrag: #4
RE: Sicherheitslücke PHP...

So, hab jetzt einfach mal "paypal checkout.js"-Script benutzt & funktioniert alles, so wie es soll.
Nur der MySQL-Part funktioniert noch nicht...

Code:
onAuthorize: function(data, actions) {
            return actions.payment.execute().then(function() {
                window.alert("Payment Complete!");';
$mysqli->query(SQL);
            echo'});
        }


Der soll praktisch, wenn es angenommen wurde, in die DB etwas eintragen, nur er tuht es schon wenn man bereits die Seite neuladet, also er macht es immer und es soll eig nur in die DB eintragen, wenn Payment completet wird...
zB der window.alert funktioniert nur der mysql part eben noch nicht...
Weiß Jemand wie man das machen kann? Mein Ansatz war, dass ich einfach eine externe Seite wieder aufrufe wo das mit dem MySQL gemacht wird, aber da ist dann wieder die Sicherheitslücke und hier so direkt wäre keine, wenn ich mich nicht irre


Homepage: LackZ.de
Teamspeak: LackZ.de
[Link: Registrierung erforderlich]

05.05.2018 14:22
 
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden

Beiträge: 343
Bewertung: 7
Registriert seit: May 2011
Status: offline


Beitrag: #5
RE: Sicherheitslücke PHP...

1. du mixed JS und PHP, das wird nicht gehen, also zumindest nicht ohne weiteres, sowas geht ist aber sehr sehr sehr unschön und ist nicht was du willst.

2. hinterlege doch einfach ein IPN Script was gecallt werden soll von PayPal, sowas wird nicht vom User aufgerufen sondern das macht der PayPal Service, wo du dann auch noch mal PayPal anfragst für die Status der Bezahlung.

PS: es gibts auch noch eine Integration wo der User dich berechtigt die Zahlung durch zuführen, dann brauchst du nicht über IPN gehen, sondern du callst ja die API von PayPal und führst die Zahlung aus.

Das sind die sachen an die ich mich so erinnere, das ist aber auch schon paar Jahre her.


WebEntwickler mit den Schwerpunkten PHP-Backend, PHP-Frontend, jQuery, HTML, CSS

Github: [Link: Registrierung erforderlich]

Dieser Beitrag wurde zuletzt bearbeitet: 05.05.2018 16:16 von KoKsPfLaNzE.

05.05.2018 16:12
 
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden

Beiträge: 182
Bewertung: 2
Registriert seit: May 2015
Status: offline


Beitrag: #6
RE: Sicherheitslücke PHP...

Ich frage mich, wieso mein Thema wieder mal ein Dislike bekommen hat, ich mein ich darf doch wohl Fragen, wenn ich nicht weiterkomme?

Ich denke ich hab's gelöst, habe es anhand von Cookies gemacht.
MFG

PS: Ein großes dank an @KoKsPfLaNzE!


Homepage: LackZ.de
Teamspeak: LackZ.de
[Link: Registrierung erforderlich]

06.05.2018 14:03
 
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden
Thema geschlossen  Thema schreiben 

 Druckversion anzeigen
 Thema einem Freund senden
 Thema abonnieren
 Thema zu den Favoriten hinzufügen

Sponsor-Board.de

Community
Über uns
Partner
Powered by Mybb: Copyright 2002-2024 by MyBB Group - Deutsche-Übersetzung von Mybb.de
 
© 2007-2024 Sponsor-Board.de - Hosted by OVH

Willkommen auf SB!   Sie benötigen ein Sponsoring?   1. Anmelden   2. Sponsoring-Anfrage erstellen   3. Nachrichten von Sponsoren erhalten   Kostenlos!   Jetzt registrieren