PHP / WHMCS: Создание учетных записей динамически после получения оплаты?

Question

Мой сайт использует WHMCS.Когда платеж сделан, служба интернет-банка посещает мой веб-сайт (секретную страницу на моем веб-сайте), который получает информацию (POST), сообщающую моему сценарию, что мне заплатили.Затем мой сценарий использует API WMHCS для создания новой учетной записи хостинга.

Какие методы я должен использовать, чтобы защитить эту страницу от ненадлежащего использования хакерами?

Первое, о чем я подумал, это наличие переменной секретного пароля (POST), которую необходимо передать дляскрипт для запуска кода.Но я думаю, что этого будет недостаточно.

Answer 1

Мое предложение будет использовать отдельную папку для этой конкретной страницы.Затем вы можете использовать .htaccess в этой папке, чтобы отклонить все запросы от доменов, кроме того, который вы хотите.В вашем .htaccess что-то вроде ниже будет работать для вас.

order deny,allow
deny from all
allow from .somedomain.com

Answer 2

Как правило, вы должны кодировать пользовательский платежный шлюз для вашего экземпляра whmcs. http://docs.whmcs.com/Gateway_Module_Developer_Docs

Answer 3

Если вы идете с ipn PayPal или любым другим уведомлением о платеже, вы можете по крайней мере подтвердить, что оно исходит из легального источника, например:

$remotehost = gethostbyaddr($_SERVER['REMOTE_ADDR']); // turn remote ip into real host (paypal people configure dns properly)

$address = 'paypal.com'; // what to look for 

if(preg_match("/\b".preg_quote($address)."\b/i",$remotehost))
{
    // do ipn and it's ok
}
else
{
    // no ipn, because I cannot resolve that host to something paypal.com
}

Answer 4

Используйте SSL, Настройки> Общие и назначьте путь ssl после установки сертификата.