Discussion :

[moreall]

Bonjour à tous,
J'ai une page de traitement php qui reçoit des variables en POST d'une plate-forme de paiement. Cette page ne doit pas faire d'actions trop longues et je dois donc transmettre certaines variables à une autre page pour d'autres actions.
Pour cela je ne peut pas utiliser de session, par contre avec la fonction header() et les variables passées en GET (genre Location = 'test.php?var1="' . $_POST['var1] .'"') ça marche.
Y a -t-il une contre-indication à fonctionner de la sorte et est ce que ça pose des problèmes de sécurité?
Quels sont les autres moyens de faire la même chose (et les bonnes pratiques)?

merci d’avance

[sabotage]

Il faut seulement prendre en compte que l'utilisateur peut envoyer n'importe quelles données lui même vers ta page de traitement.
Ensuite une URL n'est pas censé accueillir trop de données et il existe des limitations à 256 caractères.

La session est une meilleure methode.

[moreall]

Normalement l'utilisateur n'a pas accès à cette page qui ne doit pas être affichée (C'est d'ailleurs la raison pour laquelle je ne peux pas utiliser de session).
C'est une page qui sert juste à exécuter un script à partir de variables en POST venant d'une plateforme de paiement...

[sabotage]

Je ne comprends pas ton problème par rapport à la session.

Pour la sécurité, rien n’empêche ton utilisateur d’accéder à la page de traitement.
D'ailleurs puisque tu fais une redirection, il doit voir son url et les paramètres.

[moreall]

Je vais essayer de mieux m'expliquer:

Sur une page d'achat d'un site marchand l'utilisateur clique sur un bouton "Payer" qui envoie des données en POST vers une plateforme extérieure de gestion de paiement.
La plateforme gère le paiement puis renvoie le résultat du paiement en POST vers une page php de traitement du site marchand. Cette page n'est donc pas appelée par l'utilisateur, elle sert juste à valider le paiement.
Pour effectuer des traitements php supplémentaires la page de traitement du site marchand transmet à une nouvelle page (contenant un script php) certaines variables précédemment renvoyées par la plateforme de paiement (cette nouvelle page n'est donc pas appelée par l'utilisateur).
Pour passer ces variables à cette nouvelle page je ne pense pas pouvoir utiliser de session, comment cette nouvelle page pourrait-elle récupérer l'id de la session?
J'ai pensé à faire une redirection avec la fonction header() et les variables en GET, j'ai testé et ça fonctionne mais je me demande si il n'y a pas une meilleure façon de faire (à part insérer les données dans une BDD pour qu'elles puissent être récupérer ailleurs).

Voilà, j'espère que c'est plus clair.

[sabotage]

Je suppose donc que ton utilisateur est connecté sur ton site avec utilisation d'une session PHP.
Pense bien que si tu ne fais rien contre, l'utilisateur peut aussi bien accéder à la page de retour qu'a la page de traitement.
Concernant la session PHP, quand l'utilisateur revient du paiement, sa session est toujours active et donc sur la page de traitement aussi.

Pour finir, pourquoi le traitement n'est pas fait sur la page de retour directement ?