Discussion :

[Ylias]

Bonjour,
Voila pour obtenir la réponse d'un paiement sécurisé, je souhaiterai faire un script récupérant la réponse.
Et comme sécurité, je voudrai que seul l'IP du site de paiement puisse executer ce script...
Comment faire?


Réponse envoyé sur http://www.monsite.fr/mapage.php?Result=00&Value=100.....

Donc je veux pas que si qqn entre cette URL, un paiement soit validé dans ma base de données...
Donc seule l'IP du site de paiement doit pouvoir executer ce script
MErci pr votre aide.

[betaphp]

salut !

je comprends pas bien le problème ... tu veux que seul le site est la possibilité de faire des enregistrements dans ta base... dans ce cas t'inderdis au autres de l'executer ... tu vérifies que la page avant celle qui execute ton script a bien été "visité" si c'est le cas ça veut dire que l'internaute est passé par la page avant celle-ci donc c'est bon...

faut vérifier la provenance du visiteur en fait
si il est passé par la bonne procédure

j'aurais procédé comme ça

[GregPeck]

En fait si j'ai bien compris, c'est suite à ton fameux header("location: http....").
Si c'est le cas, tu n'a qu'a balancer un mot de passe dans ta requete GET.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

header("location: http://www.site.net/page.php?MotDePasse=Toto").

Ensuite dans ta page tu vérifie si MotDePasse est bien Toto...
Met un mot de passe bien lourd et ca sera bon.

[Ylias]

C'est bon problème réglé
Merci

[betaphp]

salut ! tu peux expliquer briévement comment tu as fait ? comme ça si un jour quelqu'un a besoin ... merci

[..:: Atchoum ::..]

Salut,
Effectivement, ca serait sympa de nous dire ta solution au casou quelqu'un a le même problème.

Sinon, tu aurais pu le faire avec un .htaccess

@++

[GregPeck]

Je me permet de répondre à sa place, parce qu'il m'a expliqué ce qu'il à fait.

Sa page de formulaire où il demandait à l'utilisateur son numéro de carte bleu était composé d'un form qui fait un POST vers une page intermédiaire.

Sur cette page il met juste ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
<?
$_SESSION['passé_par_la_page_de_paiement'] = true;
header("location : http://sitedepaiment.com/paiement.php?montant=".$_SESSION['montant']."&numerocarte="+$_POST['numerocarte']);
?>

Ensuite, il as juste rajouté dans la page qu'il voulais protégé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
<?
if ($_SESSION['passé_par_la_page_de_paiement']) {
  echo "ok";
} else {
  echo "pasok";
}
?>

Mais je m'apercoi que ce n'est pas forcément suffisant car si l'utilisateur arrive juste à coupé l'éxécution du script avant le header, la variable session sera initialisé mais le paiement non effectué.
Il ne reste plus qu'a l'utilisateur à aller sur la bonne page pour que le paiement soit marqué comme effectué sans rien avoir à payer...

Atchoum, c'est quoi ta soluce avec .htaccess ?

[..:: Atchoum ::..]

Euh, bah en fait moi je suis parti peut etre un peu loin...

Mais bon je me lance...

Pour moi quand on met en place un paiement sécurisé via une banque, celle ci valide le paiement en appelant un script sur le serveur. Ce qui nous permet souvent de décrémenter les stocks, mettre la commande a payer etc...

Evidement, quand la banque appelle ce script elle envoie plein d'infos en POST mais la $_SESSION est forcement vide vu que le script est appellé depuis le site de la banque...

Il voulait permettre l'appelle a ce script seulement par l'ip de la banque.
Donc avec un .htaccess on aurai pu faire un :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
<Files script.php>
AuthUserFile /usr/local/bin/www/httpd/basedenoms/.htpasswd
AuthGroupFile /usr/local/bin/www/httpd/basedenoms/.htgroup
AuthName AccesRestreint
AuthType Basic
<limit GET POST>
order deny,allow
deny from all
allow from ip_de_la_banque
</Limit>
</Files>

Mais je suis peut être complétement hors sujet...

Enfin cette infos peut servir

++

[GregPeck]

Je ne crois pas que tu sois hors sujet c'est nickel comme solution. !

Mais la banque de Ylias est un peu particulière.
Comme tu le dit, normalement, la banque après validation du paiement appel une page chez toi mais ce n'est pas visible par l'internaute.
Mais pas dans le cas de sa banque, ce qui veux dire aussi, si l'utilisateur coupe son navigateur au mauvais moment, il a payé mais le site de Ylias de le sais pas

[hisy]

Excusez moi mais le sujet m'interresse mais j'avoue que j'ai du mal à suivre ...

Pour moi la Banque d'Ylias appelle bien une de ses pages :

Et comme sécurité, je voudrai que seul l'IP du site de paiement puisse executer ce script...

Donc la solution du .htaccess me parait convenir ...

Je suppose que vu le nombre d'étoiles et de plumes qui décorent vos réponses c'est moi qui me plante mais SVP dites moi ou ...

[GregPeck]

Non non tu ne te plante pas, en effet la solution du htaccess est parfaite.

[Fladnag]

si c'est juste pour verifier une IP, pas besoin de passer un .htaccess, qui en plus n'est pas accepté sur tout les hebergeurs.

un petit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if ($_SERVER['REMOTE_ADDR']!='xxx.xxx.xxx.xxx') { // IP de la banque
die("Et non petit malin, t'est pas ma banque ;o)");
}

en haut de la page a proteger et on obtient le meme resultat ;o)

[GregPeck]

Comment j'ai pas pu y pensé plus tôt, j'utilise ça en permanence en plus pour débugger mes sites clients

[..:: Atchoum ::..]

En effet, mais faut il gérer ça dans le code....

Pour moi ca n'a rien a voir avec le code en lui même... Si la banque change d'ip pas besoin de toucher au code. (On se sait jamais ce qui arrive quand on touche ou que l'on fait modifier du code...)

De plus, s'il fait un site e-commerce, il y a de grande chance qu'il ai sont propre serveur. Car souvent la banque donne des fichiers binaires qu'il faut executer pour décoder sa réponse.

J'en déduis donc que s'il peut faire ca il peut donc mettre un .htaccess qui est quand meme beaucoup plus propre...

[Ylias]

En fait j'envoi le formulaire à l'adresse de La banque, elle me renvoi en parametre d'URL la réponse sur la page de mon choix, page qui va voir si la transaction est ok et enregistrer dans la bdd ou non la réservation...

Je ne comprends pas trop le .htaccess

[Ylias]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<Files script.php>
<limit GET POST>
order deny,allow
deny from all
allow from ip_de_la_banque
</Limit>
</Files>

Voila ce que j'ai mis et meme en mettant l'ip de la banque, j'ai permission denied...C'est l'ip de l'user qui est loggué non?

[GregPeck]

C'est logique même toi tu es bloqué, seule la banque a les droits .

[Ylias]

Bah nan, j'ai fait un paiement normal et ça ne marche pas...

J'ai rempli les champs pour la CB comme un acheteur, j'ai validé, donc la banque a reçu les infos, elle renvoi sur ma page de confirmation mais c bloqué...

[GregPeck]

Oui ok le problème, c'est que la banque renvoi l'utilisateur , donc la technique de vérifier l'adresse ip ne peux pas fonctionner...

[Ylias]

Oui...