|
|
|
Publicité ' | |||||||||||||||||||||||
03/05/2007, 11h44
|
#1 |
|
Invité de passage
 Inscription : avril 2007 Messages : 7  |
paiement, sécurité et espace membres
Bonjour, je développe un site communautaire avec un espace membre. Dans la communauté il existe des membres dits basiques et des membres premium qui possèdent plus de fonctionnalités. Voilà pour le contexte.
Seulement, pour devenir membre premium il faut payer, j'ai donc imaginé un système et j'aimerai savoir ce que vous en pensez car je pense qu'il n'est pas bon, mais je ne vois pas d'autres solutions. Mon but final est le suivant : une fois que le membre a payé, je sais qu'il a payé et je sais quel compte modifier. Je peux ainsi modifier son statut en premium dans la base de données. Voici comment je compte procéder : - Les prestataires (paypal, audiotel, internet+) connaissent l'URL à rediriger après paiement, URL que j'aurais indiqué dans les configurations - Après paiement, le prestataire (paypal, audiotel, internet+) dirige donc vers l'URL de mon site qui possède un script - Le script créé un répertoire mkdir portant un nom aléatoire md5 - Le meme script copie le contenu dans le répertoire nouvellement créé - Le contenu est un formulaire avec login et email pour modifier le compte en premium à partir des login et email entrés - Apres le changement du compte en premium, le script supprime la page du formulaire ainsi que le répertoire Pour moi ce système est bon : - je sais que le formulaire est visible seulement si le paiement a été effectué - je sais quel compte modifier par le formulaire - de plus, la page pour accéder au formulaire est créé aléatoirement Oui c'est bon, mais sauf qu'il existe une faille : si quelqu'un connait l'URL que j'ai indiqué aux prestataires il aura accès au formulaire et ainsi pouvoir modifier les comptes qu'il souhaite en premium... Mais je me dis, que je peux insérer une redirection header, je pense que ça va suffisamment vite pour qu'on puisse pas voir l'url d'origine. Voilà qu'en pensez vous ? Merci à tous pour les réponses que vous m'apporterez |
|
00
|
|
07/05/2007, 06h51
|
#2 |
|
Membre confirmé
 
Étudiant Inscription : juin 2003 Messages : 426   |
Bonjour
Tu obliges l'utilisateur a creer un compte basique pour commencer. Tu lui demande de se logger. Tu recupere son id_user dans une variable de session. L'utilisateur fait sa demande de paiement, Il est rediriger vers un script avec en url un code (md5 par exemple) que tu aurras generé pour cet utilisateur, enregistrer dans la base de donnees et egalement en session que tu aurras generer auparavant et placer dans une variable de session egalement. Le script verifie si le code md5 est bon si oui il le detruit (pour ne pas pouvoir le reutiliser) puis met a jour ta base de donner pour l'id_user qui est en session. voila ... je ne vois pas comment ca peut etre contré...
__________________
Venez voir par là... |
|
|
00
|
|
07/05/2007, 18h34
|
#3 |
|
Invité de passage
Inscription : avril 2007 Messages : 7 |
Bonjour,
Ok merci, j'ai compris le principe, il s'agit d'exploiter les variables de sessions Merci beaucoup |
|
|
00
|
Copyright © 2000-2012 - www.developpez.com