我正在制作一个网站,您必须先付款(通过 PayPal)才能访问该网站的某些安全部分。我已经设置好了,所以“注册”按钮会直接带你到 PayPal,然后一旦你在那里完成支付,你就会被引导到注册 (root/signup/index.php) 页面,你可以在其中输入你的姓名、电子邮件,密码等,并且此信息存储在数据库中。一旦某人的信息进入数据库,他们就可以登录网站的安全部分。
我的问题是,用户可以通过访问 www.mysite.com/signup/ 并输入他们的姓名/电子邮件/密码/等来绕过 PayPal 付款,这些信息仍将输入到数据库中,从而授予他们无需付费即可访问该网站的权限。
有什么方法可以让 www.mysite.com/signup/ 成为只能从 PayPal 访问的页面?我设置了一个 PayPal 按钮,用于在用户完成付款后将其带到注册页面,我希望这是用户访问该页面的唯一方式。
通常,当用户从 PayPal 返回时,您会将他们定向到您网站上的特定页面,然后您可以在其中评估 PayPal 发布给您的数据。您可以简单地验证用户是否成功购买,如果是,则设置会话变量并将用户定向到您的注册页面。只有当他们有一个有效的会话变量表明他们是付费客户时,您才会向他们展示注册表单。
如果用户在没有经过适当验证的情况下到达您的页面,您只需将他们重定向到其他地方,或者给他们一些错误消息。
最好将标志作为$_SESSION变量传递,表明用户已付款,然后阻止。
如果您仍然想检查引荐来源网址,您应该让您的脚本检查$_SERVER['HTTP_REFERER']变量并从那里开始。不过,我不完全确定这有多安全。
如果您知道 paypal 只使用一组 IP 地址来联系您的站点,那么将网络服务器配置为仅允许从这些地址访问将相当容易。但是,IP 可能会被欺骗。如果您真的需要更加安全,则必须使用证书。