paiement, sécurité et espace membres
Bonjour, je développe un site communautaire avec un espace membre. Dans la communauté il existe des membres dits basiques et des membres premium qui possèdent plus de fonctionnalités. Voilà pour le contexte.
Seulement, pour devenir membre premium il faut payer, j'ai donc imaginé un système et j'aimerai savoir ce que vous en pensez car je pense qu'il n'est pas bon, mais je ne vois pas d'autres solutions.
Mon but final est le suivant : une fois que le membre a payé, je sais qu'il a payé et je sais quel compte modifier. Je peux ainsi modifier son statut en premium dans la base de données.
Voici comment je compte procéder :
- Les prestataires (paypal, audiotel, internet+) connaissent l'URL à rediriger après paiement, URL que j'aurais indiqué dans les configurations
- Après paiement, le prestataire (paypal, audiotel, internet+) dirige donc vers l'URL de mon site qui possède un script
- Le script créé un répertoire mkdir portant un nom aléatoire md5
- Le meme script copie le contenu dans le répertoire nouvellement créé
- Le contenu est un formulaire avec login et email pour modifier le compte en premium à partir des login et email entrés
- Apres le changement du compte en premium, le script supprime la page du formulaire ainsi que le répertoire
Pour moi ce système est bon :
- je sais que le formulaire est visible seulement si le paiement a été effectué
- je sais quel compte modifier par le formulaire
- de plus, la page pour accéder au formulaire est créé aléatoirement
Oui c'est bon, mais sauf qu'il existe une faille : si quelqu'un connait l'URL que j'ai indiqué aux prestataires il aura accès au formulaire et ainsi pouvoir modifier les comptes qu'il souhaite en premium...
Mais je me dis, que je peux insérer une redirection header, je pense que ça va suffisamment vite pour qu'on puisse pas voir l'url d'origine.
Voilà qu'en pensez vous ? Merci à tous pour les réponses que vous m'apporterez
Répondre avec citation
Partager