Как запретить пользователям обходить платежи?
У меня есть сайт, который использует PayPal для сбора платежей за данные, отображаемые в электронном виде. Переменные не могут быть переданы с URL-адресом через PayPal (или я не могу заставить их работать), поэтому я использовал файлы cookie для передачи номера элемента. Однако хитрый пользователь может после части записи cookie ввести URL-адрес перенаправления PayPal прямо в адресную строку и получить электронные данные бесплатно. В обход PayPal. Как я могу это обойти?
Вот часть кода. Вы увидите, что я попытался усложнить задачу для пользователя, пропустив запись cookie (pre_contact.php) и URL-адрес перенаправления PayPal (step.php).
//pre_contact.php
<?PHP
global $id;
setcookie("property", $id, time()+1800);
echo "<META HTTP-EQUIV=Refresh CONTENT=\"0; URL=contact.php\">";
?>
//contact.php - paypal pay button
echo "<form action='https://www.paypal.com/cgi-bin/webscr' method='post'>";
echo "<input type='hidden' name='cmd' value='_s-xclick'>";
echo "<input type='hidden' name='hosted_button_id' value='156320'>";
echo "<input type='image'
src='https://www.paypal.com/en_GB/i/btn/btn_paynowCC_LG.gif' border='0' name='submit'
alt='Click to pay'>";
echo "<img alt='' border='0' src='https://www.paypal.com/en_GB/i/scr/pixel.gif' width='1' height='1'>";
echo "</form>";
//step.php - paypal redirect on successful payment
<?PHP
require("generate_url.php");
?>
//generate_url.php - This generates a unique URL so the info can only be accessed once
<?PHP
if (eregi("generate_url.php", $_SERVER['SCRIPT_NAME'])) {
Header("Location: index.php"); die();
}
$token = md5(uniqid(rand(),1));
setcookie("token", $token, time()+4);
$cwd = substr($_SERVER['PHP_SELF'],0,strrpos($_SERVER['PHP_SELF'],"/"));
Header("Location: $cwd/get_file.php?q=$token"); die();
?>
//get_file.php - displays the file after payment
$qtoken = $_GET['q'];
if ($qtoken===$_COOKIE["token"]){
$id=$_COOKIE["property"];
DISPLAY FILE HERE!!
заранее спасибо
Ответы 3
Я не думаю, что вы сможете делать то, что хотите, за один шаг с помощью используемого вами подхода, потому что ваш код не может узнать, действительно ли транзакция завершилась успешно или нет.
Я думаю, что единственный способ, которым приведенный выше подход будет работать, - это если вы не отправите их автоматически в файл, за который они заплатили.
Вместо этого им придется ждать, пока вы подтвердите их транзакцию через Paypal, а затем отправить им ссылку для скачивания по электронной почте.
Вероятно, все это можно было бы сделать автоматически, используя Paypal API. Я не так хорошо знаком с API Paypal, но он должен работать примерно так.
- Пользователь решает что-то у вас купить
- Вы запускаете транзакцию, которая отправляет пользователя в Paypal и, предположительно, генерирует какой-то идентификатор транзакции.
- Пользователь платит (или решает отменить и / или не платить)
- Пользователь возвращается на ваш сайт
- Вы берете идентификатор транзакции и подтверждаете, что платеж прошел успешно
- Если платеж прошел успешно, отдайте пользователю то, за что он заплатил.
Справочник по API Paypal
То, что вы, вероятно, ищете, называется Paypal IPN (мгновенное уведомление об оплате) .. в основном кто-то покупает у вас продукт .. Paypal ОТПРАВЛЯЕТ данные в скрипт / URL, который вы указываете (только вы и они это знаете) .. Тогда что вы делаете отправляет данные обратно в PayPal, чтобы подтвердить, что отправленное сообщение является настоящим, а не имитацией / подделкой кем-то. На этом этапе вы знаете, что транзакция действительна.
Как только вы получите уведомление о действительном платеже, вы можете сделать что-то вроде отправки URL-адреса загрузки по электронной почте или обернуть все это в небольшую систему входа / пароля, используя что-то простое, например HTACCESS auth, и все готово.
Удачи.
Привет, Dreamwerx. Согласно моему ответу на Марк выше, он слишком длинный и замедляет процесс до такой степени, что я потеряю продажи. Думаю в духе отслеживания истории URL?
Вам нужно либо правильно исправить проблему один раз, либо продолжать работать с исправлениями взлома, такими как отслеживание URL-адресов и т. д., Которые люди в конечном итоге смогут обойти. Неправильное решение проблемы может потенциально потерять ваши продажи из-за мошенничества. IPN определенно лучший способ.
Привет. Да, я только что это смотрел. Кажется очень сложным, но похоже, что вы можете полностью автоматизировать это, и это было бы хорошо. Спасибо за указатель.
Я использую PayPal IPN для своей системы продаж, и он отлично работает. Уведомления приходят в течение нескольких секунд после оплаты, а затем я просто отправляю электронное письмо человеку с ключом. Отлично работает с тех пор, как я начал его использовать.
Я согласен. Я использую IPN на игровом веб-сайте для отслеживания пожертвований пользователей. Платежи проверяются мгновенно, и пользователи не могут это обойти.
Информацию о PayPal IPN можно найти в других вопросах, начиная с Настройка Paypal для подключения к скрипту.
Спасибо, Марк. Это кажется очень долгим и трудоемким. Я бы предпочел потерять несколько продаж хитрым пользователям, чем связывать кого-то с проверкой платежей. Могу ли я как-то отклонить пользователя, если он пришел не с PayPal? Я не могу использовать CURL или REFERER, так как мой хост отключил их.