Consiglio su protezione script

[l'evangelista]

Ciao,
ho un piccolo sistema (il cliente ha poco budget e quindi devo far cose semplici) per il pagamento di file.

Dal carrello l'utente viene spedito su paypal e, dopo la transazione, sulla pagina che genera la mail e flagga il record sul db in modo da consentire il download.

Come saprete paypal permette di impostare la pagina di transazione eseguita con successo e di transazione annullata.

Nel mio caso
ordine.php?esito=ok&password=passwordRandomica
e
ordine.php?esito=ko&password=passwordRandomica

ovviamente se un utente abbandona la transazione viene a conoscenza della pwd passata dalla url e scrivendo 'ok' anzichè 'ko' ottiene comunque il via libera ai download

avete qualche soluzione semplice in mente?

[daniele_dll]

se non sbaglio puoi inviare a paypal dati che ti devono essere ritrasmessi

ti basta verificare quei dati

ad esempio metti l'id di sessione, la data di inzio login, un salt e qualche altra cosa ... poi al momento della verifica ti riassembli questo hash, lo confronti, et waila ... hai il check fatto

[skidx]

Originariamente inviato da l'evangelista

ovviamente se un utente abbandona la transazione viene a conoscenza della pwd passata dalla url e scrivendo 'ok' anzichè 'ko' ottiene comunque il via libera ai download

avete qualche soluzione semplice in mente?

la tua "passwordRandomica" deve valere solo per la prima transazione, dopo va ignorata.

[l'evangelista]

Originariamente inviato da skidx
la tua "passwordRandomica" deve valere solo per la prima transazione, dopo va ignorata.

non è il massimo perchè per passare i dati a paypal devo usare un modulo con campi hidden, e la pagina di risposta appare comunque in chiaro durante la transazione (paypal se la porta a spasso via GET). in pratica l'utente la vede anche prima di arrivare alla pagina finale