私のウェブサイトはWHMCSを使用しています。支払いが行われると、オンライン銀行サービスは自分のウェブサイト(私のウェブサイトの秘密のページ)にアクセスし、私の払い戻しをスクリプトに伝える情報(POST)を受け取ります。その後、私のスクリプトはWMHCS APIを使用して新しいホスティングアカウントを作成します。PHP/WHMCS:支払いを受け取った後にアカウントを動的に作成しますか?
このページをハッカーが不適切に使用するのを防ぐために、どのような方法を使用しなければなりませんか?
私が最初に考えたのは、コードを実行するためにスクリプトに渡す必要がある秘密のパスワード変数(POST)です。しかし、私はそれが十分ではないと思う。
SSLを使用し、[設定]> [一般]を選択し、証明書がインストールされたらsslパスを割り当てます。
通常、whmcsインスタンスのカスタム支払いゲートウェイをコーディングする必要があります。あなたがPayPalのIPNまたはその他の支払い通知で行く場合は、法的なソースから来ることhttp://docs.whmcs.com/Gateway_Module_Developer_Docs
、あなたは少なくとも、たとえば、検証することができます:
$remotehost = gethostbyaddr($_SERVER['REMOTE_ADDR']); // turn remote ip into real host (paypal people configure dns properly)
$address = 'paypal.com'; // what to look for
if(preg_match("/\b".preg_quote($address)."\b/i",$remotehost))
{
// do ipn and it's ok
}
else
{
// no ipn, because I cannot resolve that host to something paypal.com
}
私の提案をするために別々のフォルダを使用することですその特定のページ。 次に、そのフォルダ内で.htaccessを使用して、必要なもの以外のドメインからのすべての要求を拒否できます。 .htaccessでは、以下のようなものが必要に応じて機能します。
order deny,allow
deny from all
allow from .somedomain.com