Bonjour,

Après avoir passé quelques heures (jours même ...) à chercher comment intégrer un système Allopass qui soit correctement sécurisé, je suis face à un soucis assez gênant.

J'explique, j'ai un produit Allopass dont j'ai récupéré le script "Bouton" (un petit bouton bleu qui ouvre une petite fenêtre directement chez Allopass). L'utilisateur achète un code, puis valide.

Il est alors redirigé vers une page "acheter", sur cette page, j'ai mis le petit script fourni par Allopass à mettre en haut d'un page protégé. De plus, la page est appelé avec le CODE et un trxid en POST, ces infos sont enregistrées dans une table MySQL, je peux ainsi vérifier qu'un même code ne soit pas utilisé 2 fois.

Enfin, si tout est bon, il est renvoyé vers une page de validation genre "Tout va bien".

Le problème vient de la page "acheter", il est possible de l'appeler directement, en modifiant l'URL et en mettant des infos erronées. Si l'utilisateur n'a JAMAIS acheté sur le site, le script Allopass entre en action, et protège la page en informant que le code est erroné. Par contre, si il a déjà acheté (et n'a pas supprimé ses cookies apparemment), il peut appeler la page avec un tas de codes bidons, et le script Allopass ne fait rien du tout .

Pourriez vous m'aider, ou me mettre sur la piste d'une idée pour mieux sécuriser cette page ?

Merci d'avance !