Discussion :

[ValyGator]

Bonjour,
J'ai un script PHP qui rempli automatiquement un formulaire HTML pour un paiement PayPal. Ce formulaire contient une adresse de retour apres paiement afin d'executer un autre script qui met a jour ma base de donnees. Mon probleme est qu'il suffit a l'utilisateur d'afficher le code source du formulaire HTML pour voir quelle est cette adresse de retour. Et donc il lui suffirait de taper cette adresse dans son navigateur pour mettre a jour ma base de donnee sans avoir paye.
Y a-t-il une solution contre cette faille de securite?

[Bioteck]

Salut,

Je suis justement moi aussi en train d'intégrer PayPal à un site web et je me suis également posé cette question. La meilleure solution que j'ai trouvé est d'utiliser SSL pour crypter le formulaire. Voilà un tuto qui explique toute la démarche à suivre pour mettre ça en place avec PHP et OpenSSL :
http://www.wikistuce.info/doku.php/a..._site_marchand

Sinon tu peux renseigner cette URLde notification dans les préférences de ton compte PayPal et tu n'as alors pas besoin de la faire apparaitre dans le formulaire (sauf si tu as plusieurs sites à gérer avec chacun sa propre URL de notification). De toute façon, c'est tout le formulmaire qui devrait être protéger car, avec Firebug par exemple, il est facile de modifier les valeurs des champs (c'est pour ça que SSL est la meilleure solution).

[mkweb]

Bonjour,
J'utilise le token de paypal, il permet d'obtenir une jeton crypté pour le paiement qui va être demandé. Cela empêche de modifier, entre autre, le montant.
En gros on demande le token à paypal pour afficher la page de demande de paiement (notre page avec recap du panier, adresse client...)
Le token est mis et transmis dans cette page lors de l'envoi du client vers paypal pour le règlement.
Cela permet de se passer de SSL mais j'ai besoin de CURL.
Ultime sécurité quand on enregistre la commande on compare le montant du panier (en le recalculant) avec celui du règlement.

Bon dev