Direkt anwählbare URL's verhindern

gsco · Neuer [**User**] Anmeldung: 08.01.06 Beiträge: 1

Hallo zusammen...

Ich habe eine Site aufgebaut, bei der man inserate "kaufen" kann. Nun habe ich das mit paypal verlinkt und das vorgehen sieht folgendermassen aus:

1. Bezahlung bei paypal
2. bei paypal habe ich ein Link angegeben, welcher zur Formularseite des Inserats verbindet sobald die Zahlung bestätigt wurde.

Nun kann aber ein User sich diesen Link merken und direkt die Formularseite aufrufen ohne den "Umweg" zu paypal mache zu müssen.

Wie kann ich verhindern, das der User diese Seite direkt anwählt. Gibt es eine Htaccess-Lösung oder habt ihr sonst einen guten Vorschlag?

Ich habe zwar eine Funktion eingeschaltet, um die neuen Inserate vor der Liveschaltung noch kontrollieren zu können (email benachrichtigung an den Admin). Da könnte ich überprüfen ob die Zahlung erfolgt ist und erst dann das inserat freischalten.... aber das ist extrem aufwendig und diese Kontrolle will ich auf ein minimum halten denn zahlende Kunden wollen nicht noch warten bis ich die Kontrolle gemacht habe.... Ausserdem haben wir das Jahr 2006..... da sollte es schon genügend automatisierte Lösungen geben..... Hoffe ich.. Smilie

)

Vielen Dank im Voraus.....

RobZe89 · Verfasst am: 08.01.2006, 15:11 Titel:

Kannst du bei PayPal nur eine Seite als weiterleitung angeben?

Sonst gibt es noch die Möglichkeit ein eigenes Script zu schreiben und die PayPal API-Schnittstelle zu benützen, wäre am seriösisten.

Eine (heikle) Möglichkeit wäre den Referer zu prüfen, also ob der von paypal kommt, aber da der referer frei definierbar ist und oftmals auch nicht weitergegeben wird ist dies sehr müshsam.

Eine weitere Möglichkeit wäre ein spezielles postfach einzurichten, dieses per php beim formular Aufruf zu überprüfen ob neue Nachrichten drin sind und diese auszulesen und auf ihre Echtheit hin überprüfen, Absender und so, kann man natürlich auch wiederum "manipulieren" aber wäre dann schon ein wenig kriminell, danach halt wenn es übereinstimmt das Formular freigeben und die Nachricht löschen oder umschreiben, damit nicht 2 Inserate getätigt werden können.

Metaman · Power-Poster [**User**] Anmeldung: 20.11.05 Beiträge: 635

eigentlich läßt sich das nur über einen Referercheck "absichern"
also prüfen von welcher Seite der User bekommen ist.
allerdings so wirklich sicher ist das nicht.
denn dieser referer kann zum einem gefälscht werden, und zum anderen verhindern manche Programme, z.b. Firewalls die übergabe dieses Referers.

ich würde sowas anders absichern.
nach der bezahlung erfolgt eine Weiterleitung zu einem speziellen Script.
dieses erzeugt eine Session in der ein Wert gespeichert wird. (oder wo ein automatisch erstelltes Passwort in einer DB abgelegt wird)
anschließen erfolgt sofort serverseitige Weiterleitung (header location..) zu der Formularseite.
dort kann der USer dann seine Daten eintragen
vor dem speichern der Daten prüft nun das script ob dieser Wert in der Session enthalten ist oder das passwort in der DB nur wenn es vorhanden ist wird der Eintrag gespeichert.
und nach dem speichern wird dieser Eintrag dann gelöscht.

danach kann der User dann sooft wie er will versuchen etwas einzutragen... es wird nicht gehen.

RobZe89 · Verfasst am: 08.01.2006, 15:24 Titel:

Metaman · Power-Poster [**User**] Anmeldung: 20.11.05 Beiträge: 635

stimmt, aber die erzeugung eines passwortes und das ablegen in einer DB dauert nicht mal eine sekunde,
das heißt der user bekommt diese URL gar nicht zu gesicht....

natürlich, absolute Sicherheit gibt es nie.

aber andersrum gesagt, kann man bei so einem Dienst auch ruhig auf manuelle Kontrolle setzen, da warscheinlich die einträge recht spärlich erfolgen werden,
denn warum sollte jemand Geld für eine Anzeige bezahlen, die er auf tausenden anderen seiten kostenlos machen kann.
(aber das ist ja nicht das Thema ...