私のウェブサイトは WHMCS を使用しています。支払いが行われると、オンライン バンキング サービスが私の Web サイト (私の Web サイトの秘密のページ) にアクセスしPOST、スクリプトに支払いが行われたことを伝える情報 ( ) を受け取ります。次に、スクリプトで WMHCS API を使用して新しいホスティング アカウントを作成します。
このページがハッカーによって不正に使用されないようにするには、どのような方法を使用する必要がありますか?
最初に考えたのはPOST、スクリプトがコードを実行するために渡す必要がある秘密のパスワード変数 ( ) を用意することです。しかし、それだけでは不十分だと思います。
私の提案は、その特定のページに別のフォルダーを使用することです。次に、そのフォルダー内の.htaccessを使用して、必要なドメインを除くドメインからのすべての要求を拒否できます。.htaccessでは、以下のようなものが必要に応じて機能します。
order deny,allow
deny from all
allow from .somedomain.com
Paypal の IPN またはその他の支払い通知を使用する場合は、少なくともそれが合法的な情報源からのものであることを検証できます。たとえば、次のようになります。
$remotehost = gethostbyaddr($_SERVER['REMOTE_ADDR']); // turn remote ip into real host (paypal people configure dns properly)
$address = 'paypal.com'; // what to look for
if(preg_match("/\b".preg_quote($address)."\b/i",$remotehost))
{
// do ipn and it's ok
}
else
{
// no ipn, because I cannot resolve that host to something paypal.com
}
証明書がインストールされたら、SSL、設定 > 一般を使用し、ssl パスを割り当てます。
通常、wmcs インスタンスのカスタム支払いゲートウェイをコーディングする必要があります。http://docs.whmcs.com/Gateway_Module_Developer_Docs