Tom's Guide > Forum > Programmation > [PHP] Sécuriser en utilisant la page précédente

[PHP] Sécuriser en utilisant la page précédente

Forum Programmation : [PHP] Sécuriser en utilisant la page précédente

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
apapeur10   07-11-2006 à 02:27:58

Bonjour à tous et toutes,

Voici ce qui me pose souci : j'ai besoin de m'assurer qu'un paiement (par Paypal en l'occurence) a bien été effectué avant d'effectuer une action précise.
J'avais donc l'intention d'utiliser $_SERVER['HTTP_REFERER'] pour m'assurer que la page précédent ma page de validation était bien une de Paypal. Sauf que $_SERVER['HTTP_REFERER'] est vide lorsque j'essaye...

Quelqu'un saurait-il me dire pourquoi ça ne marche pas (mais j'ai ma petite idée) et/ou me donner une solution ?

Merci d'avance !

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
Badge Programmation Bronze crazycat@idn   07-11-2006 à 10:24:42
- 0 +

Déjà, ça ne marche pas parce que tous les clients ne renvoient pas le referrer, ensuite parce que tu écris mal referrer et enfin parce que tu fais ça n'importe comment.
Paypal t'autorise à avoir une page de retour particulière, lis donc la doc sur les API Paypal.

------------------------------ Réseau IRC Francophone | g33k-zone
 Répondre à crazycat@idn
apapeur10   07-11-2006 à 19:19:14
- 0 +

Je cherchais une aide, pas une engueulade. Tu ne réponds en aucun cas à ma question, et ce ton est quelque peu méprisant, sans aucune raison.
Et puis referer est bien écrit, désolé de te décevoir.

Mis à part ça, tu parles du champ "return" sous Paypal ?

Message cité 1 fois
Répondre à apapeur10
RiiMii   08-11-2006 à 08:00:33
- 0 +

Citation :


Paypal t'autorise à avoir une page de retour particulière, lis donc la doc sur les API Paypal.



C'est pas une réponse ca ?

Répondre à RiiMii
Badge Programmation Bronze crazycat@idn   08-11-2006 à 09:40:49
- 0 +

apapeur10 a écrit :

Je cherchais une aide, pas une engueulade. Tu ne réponds en aucun cas à ma question, et ce ton est quelque peu méprisant, sans aucune raison.
Et puis referer est bien écrit, désolé de te décevoir.


Au temps pour moi, REFERER est effectivement bien écrit, mais pour le reste j'ai raison, que ce soit sur le fond ou la forme: Paypal est un système très évolué, il est capable de te renvoyer l'information comme quoi l'utilisateur a payé, et c'est bien plus sécurisé qu'un hypothétique http_referer que beaucoup de personnes peuvent simuler.

plus d'infos à https://www.paypal.com/fr_FR/FR/pdf [...] nGuide.pdf


Message édité par crazycat@idn le 08-11-2006 à 09:41:16
------------------------------ Réseau IRC Francophone | g33k-zone
 Répondre à crazycat@idn
djon77   09-05-2008 à 16:49:01
- 0 +

Petit up car les réponses ne me semblent pas satisfaisantes. (ou alors j'ai mal compris^^)
Paypal propose d'accéder à une page après avoir payé mais n'empêche pas quelqu'un ayant l'url d'y aller sans payer.
D'où l'idée de l'utilisation de la page précédente.
Du coup y-a t'il un moyen de protéger ces pages comme avec allopass qui fournit un script à insérer sur la page de destination?
Ou alors avec referer comme supposé au début?
Ou est-ce impossible?!

------------------------------ Jouer-Facile.com
 Répondre à djon77
okinou   09-05-2008 à 17:06:46
- 0 +

rien compris, les explications données au dessus sont suffisantes.

Répondre à okinou
djon77   10-05-2008 à 12:52:56
- 0 +

Je re-explique!
Quand on utilise allopass on peut faire payer l'accès à une page web.
Mais allopass fournit aussi un script à insérer dans cette page qui empêche quelqu'un qui a son url d'y accéder sans avoir payé...
Alors que paypal ne propose pas ce genre de script: Si quelqu'un trouve l'url de cette page et l'entre dans son navigateur rien ne l'empêche d'y accéder..
En tout cas c'est ce que je comprends en me référant à la doc de paypal.
Questions :
-Est-ce que je me trompe et paypal interdit d'une façcon ou d'une autre l'accès à la page payante? ->dans ce cas j'ai besoin d'expliquations car ce n'est pas ce que j'ai compris.

-Est-ce que quelqu'un sait comment faire marcher "referer" avec la page de paiement paypal?

-Si rien de tout ça ne marche y-a t'il une solution pour protéger efficacement ses pages payantes et de ne les rendre accessible qu'en payant?

Ps: Je me permet poser ces questions car les réponses proposées datent de plus d'un an...De plus l'avis d'une personne n'est pas suffisant pour être certain du fonctionnement de paypal, j'attends donc de savoir si d'autres personnes ont d'autres avis...

------------------------------ Jouer-Facile.com
 Répondre à djon77
okinou   10-05-2008 à 14:04:11
- 0 +

et la doc de paypal ne te satisfait pas ?
Paypal à forcement un system de session afin de savoir si l'user à payer ou non, et de renvoyé la page concerné, as tu fais des test aumoins ?

Répondre à okinou
djon77   10-05-2008 à 14:40:01
- 0 +

Dans la doc de paypal ils ne parlent jamais de script à insérer dans la page cible.
Si on ne modifie pas le code source de cette page ou un fichier htaccess elle ne risque pas d'être protégée par paypal (non?)
J'ai lu la doc de paypal et en effet si on passe par paypal pour accéder à la page pas de problème!
Mon souci est que quelqu'un qui aurait récupéré l'url de celle-ci puisse y accéder quand il veut.
Si quelqu'un connait le fonctionnement précis de paypal qu'il me dise si il existe réellement une protection.
Ps: J'attends la réponse de paypal mais ça risque de prendre du temps...


Message édité par djon77 le 10-05-2008 à 14:40:46
------------------------------ Jouer-Facile.com
 Répondre à djon77
morgan_bleu   09-06-2009 à 22:31:06
- 0 +

Bonjour,

Je me permet un petit up sur ce post parce que j'ai le même problème, c'est a dire que je ne vois pas de moyen de sécuriser la page de success en cas de bon paiement.

y a t'il un moyen d'empêcher une personne d'accéder à la page de success s'il n'a pas payer ?

Je connais les variables :
<input type="hidden" name="return" value="http://success.fr">
<input type="hidden" name="cancel_return" value="http://annul.fr" />

mais si le mec annule la transaction et qu'il entre manuellement l'url http://success.fr il peu y accéder, comment le restreindre ?

Pour information $_server['http_referer'] peu ne rien renvoyer dans certain cas a cause de firewal ou autre antivirus donc cette solution n'est pas viable, il ne faudrait pas qu'une personne n'accède pas à la page de succès car elle a un antivirus ;)

Merci pour votre aide.

Répondre à morgan_bleu
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Programmation > [PHP] Sécuriser en utilisant la page précédente
Aller à :

Il y a 399 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,330 secondes
Liens