PayPal einbinden + prüfen ob Zahlung erfolgt ist

DanielxK48x · 20.01.2011

Hallo,

ich möchte gerne auf einer Seite PayPal als Zahlungsmethode einbinden.
Das Problem ist wie ich wirklich sicherstellen kann, dass die Zahlung bei PayPal auch wirklich durchgeführt wurde.
Denn es soll bei erfolgter Zahlung automatisch eine Freischaltung auf meiner Seite erfolgen.
Man kann ja beim PayPal-Button mit den Variablen "return" und "cancel_return" URLs an PayPal übertragen, die dann jeweils bei Zahlung oder Nichtzahlung aufgerufen werden.
Aber der findige User wird wohl auch so schlau sein im Quelltext meiner Seite die entsprechende URL zu finden, um sie dann einfach so aufzurufen.
Wie umgehe ich das Problem genau?
Dank an alle Antworten!

McSheffrey · 20.01.2011

Ich meine es war so, das du ja sowieso grundsätzlich einen Key mitsendest, der immer variiert, oder?
Von daher kann der User ja nicht viel mit dieser "Landingpage" anfangen.

Andererseits kannst du in der Paypal-Konfiguration selbst diese Pages angeben, auf die weitergeleitet wird. Dort kann der User dann nicht mehr sehen, wohin weitergeleitet wird.

DanielxK48x · 20.01.2011

@McSheffrey
Beide Möglichkeiten funktionieren leider ebenso nicht.
1. Der generierte Key muss ja, wenn er zu PayPal übertragen wird, ebenso als Variable angegeben sein - der User kann den Key also auch locker im Quellcode auslesen.
2. Die angegebenen URLs im PP-Konto sind dem User dann spätestens nach dem 1. Kauf bekannt und kann sie dann einfach für weitere Käufe für sich nutzen.

Ich werde wohl um API nicht herum kommen.
Gibt es da evtl sehr vereinfachte Scripte?
Die Beispielscripte von PP sind derart umfangreich und verkomplizier, dass man sie einfach kaum nutzen kann oder sich tagelang drin studieren muss. ^^

cmddegi · 20.01.2011

Wenns nicht wirklich sicher sein muss, könntest du evtl. den Referrer prüfen. Den durchschnittlichen User stellt das schon vor ein großes Problem. Sicher ist das allerdings keinesfalls; mit ein paar einfachen Tricks lässt sich das umgehen.

DanielxK48x · 20.01.2011

@cmddegi
Wenn mir Sicherheit nicht wichtig wäre hätte ich auch kein Problem, was ich hier posten müsste. ^^
Natürlich muss es sicher sein!
Außerdem der "durchschnittliche User" würde auch nie auf die Idee kommen im Quelltext nach URLs zu suchen.
Von daher wäre es sinnfrei den Quelltext abzusichern aber die Prüfung nur durch einen leicht zu manipulierenden Referercheck durchzuführen.
Vielleicht hat ja jemand eine API-Lösung zur Hand, die leicht einzubauen ist.

McSheffrey · 20.01.2011

Ich hätte da gegebenenfalls noch eine Idee, sofern dir JavaScript zur Verfügung steht.

Du kannst ja, vor dem weiterleiten, diesen Key on submit via Ajax nachladen (oder wenn er alle notwendigen Punkte ausgefüllt hat). Das sollte schwerer zu ermitteln sein und steht nicht unmittelbar im Quelltext. Hierfür bräuchte man dann schon Plugins wie Firebug o.ä. ... also irgendwas, was den Transfer mitloggt.

Und dann kriegst du auch keine Probleme mit irgendwelchen Bots, denn die meisten beherrschen meines Wissens kein Logging oder Ausführen von Ajax-Requests.

DanielxK48x · 21.01.2011

Man kann Variablen zu einem bereits abgeschickten Request nachladen?
Das wäre mir absolut neu.
Ich schätze der PayPal-Server würde das als 2te Anfrage ansehen und einen Fehler ausgeben.
Wenn ich angenommen mit <form action="blabla..." method="post"> etwas abschicke - wie soll ich da jetzt noch schnell eine Variable "nachschicken"?

McSheffrey · 21.01.2011

Nein ... nicht nach dem Request, sondern davor.

Also Ablauf wie folgt:
User kriegt seine Übersichtsseite -> User löst ein onclick-Event aus, Ajax Request wird durchgeführt -> AjaxRequest Status OK -> Richtiges Submit durchführen durch JavaScript und den Parameter mit übergeben.

DanielxK48x · 23.01.2011

So ganz kann ich es noch nicht nachvollziehen, wie man eine Variable per Formular versenden kann ohne, dass man diese im Quelltext sieht - außer man berechnet sie erst, dessen Formel man aber auch auslesen könnte - auch bei Javascript nicht.
Einfacher gefragt: wie kann ein Javascript einen bekannten Wert quasi "unsichtbar" an einen Server übermitteln? (Server-Anbindung wie API Interface usw. natürlich jetzt mal ausgenommen)
Das kann ich nicht ganz nachvollziehen - vielleicht kannst du mir das ja irgendwie erklären.

McSheffrey · 23.01.2011

Also ... das ist doch ganz einfach:

Du hast ein Backend, das du über einen Ajax-Request anfragst. Dies machst du über ein Onclick event auf einen Button ... der ein Div, oder ein Anchor ... oder ein Span sein kann, vollkommen egal. Der Request wird ausgeführt und liefert dir ein JSON zurück mit dem Key, den du benötigst. Diesen setzt du beispielsweise in ein Hidden-Input-Field. (Im Seitenquelltext ist dieser Key nicht zu finden!)
Anschließend, wenn der Request einen Success übermittelt, kannst du über JavaScript ein Click-Event für das jeweilige Form ausführen. Das heißt der Submit wird durch das JavaScript ausgeführt, nur indirekt durch den Nutzer selbst. Dieser Submit-Button muss natürlich versteckt werden.

Somit hast du deinen Key nicht im Seitenquelltext und wird trotzdem mit übermittelt, weil schließlich eine Manipulation stattgefunden hat, welche aber nicht ersichtlich ist.

WhiskeyCola16 · 27.01.2011

Mit Firebug kann man sehr gut AJAX Requests sehen, inkl. Parametern und Response.
Wieso soll ein Wert in einem hidden-input nicht über den Quelltext lesbar sein?

McSheffrey · 28.01.2011

Richtig, nur mit speziellen Programmen kann man das sehen. Daten sind Daten und werden immer irgendwie irgendwo sichtbar sein.

Was den Hidden Input angeht: Der Parameter-Wert wird ja nachgeladen durch einen Ajax Req. ... dementsprechend ist er nicht im Quelltext, den du mit "Rechtsklick -> Quelltext anzeigen" auswählst.

WhiskeyCola16 · 29.01.2011

Sobald die Ajax Response kommt und du den Wert ins (hidden) input Feld setzt, steht der Wert auch im Quelltext.

McSheffrey · 31.01.2011

So ... nun suche dir eine Stadt aus und sehe dir den Seitenquelltext vor und nach der Auswahl an:
http://jqueryui.com/demos/autocomplete/#remote-jsonp

Ich konnte keine Manipulation des Seitenquelltextes feststellen.

Ansonsten beschreibe mir wie du es geschafft hast

Tools wie Firebug, Greasemonkey und wie Sie alle heißen zählen hierbei nicht.

WhiskeyCola16 · 31.01.2011

McSheffrey schrieb:
So ... nun suche dir eine Stadt aus und sehe dir den Seitenquelltext vor und nach der Auswahl an:
http://jqueryui.com/demos/autocomplete/#remote-jsonp

Ich konnte keine Manipulation des Seitenquelltextes feststellen.

Ansonsten beschreibe mir wie du es geschafft hast
Tools wie Firebug, Greasemonkey und wie Sie alle heißen zählen hierbei nicht.

<div class="ui-widget" style="margin-top: 2em; font-family: Arial;">
Result:
<div id="log" style="height: 200px; width: 300px; overflow: auto;" class="ui-widget-content"><div>Selected: Testo, Santa Catarina, Brazil</div></div>

"Test" eingeben, "Testo" auswählen, seite speichern unter, datei öffnen, quelltext anzeigen.
Bittesehr, keine "Tools" verwendet.

Der DOM Tree wird ja manipuliert, sonst könnten die AJAX Daten ja nirgends angezeigt bzw. "zwischengespeichert" werden. Mit Firebug siehst du das gleich, im Quelltext siehst du es nach dem Zwischenspeichern.

[EDIT]
Mit den IE Developer Tools zeigt er den aktuellen DOM Tree auch an - wäre auch kein Third-Party-Tool

McSheffrey · 31.01.2011

Alles klar, du hast die Seite gespeichert wie Sie angezeigt wird, das ist nicht der Seitenquelltext.

Aber okay, an die Variante habe ich nicht Gedacht.

WhiskeyCola16 · 31.01.2011

Alternativ kann man auch mit STRG+A alles markieren, rechtsklicken und sagen "Auswahl-Quelltext anzeigen.

Was ist dann deiner Meinung nach der Quelltext? Ob nun per JS nachträglich verändert oder nicht, das Ding ist der Quelltext der Seite.

McSheffrey · 12.02.2011

Für mich ist die Definition des Quelltextes der Urzustand des Seitenquelltextes (Quelle = Ursprung).

Das was du da rauskopierst ist schon das manipulierte DOM (der manipulierte Seitenquelltext), was aber nicht mehr der Quelltext selbst ist.
An dieser Stelle ist das mit der "Quelle" einfach nicht mehr so richtig, was gleichzeitig wie in meinem Fall, dann auch zu Verwirrungen in der Auffassung führen kann.

WhiskeyCola16 · 12.02.2011

Ja, das ist Definitionssache - Unterschied zwischen Sourcecode und Quelltext. Sourcecode ist der ursprüngliche "Quelltext" - so wie du es auch meinst - und Quelltext ist der zu Grunde liegende "Quelltext" der aktuellen Ansicht.

PayPal einbinden + prüfen ob Zahlung erfolgt ist

DanielxK48x

McSheffrey

DanielxK48x

cmddegi

DanielxK48x

McSheffrey

DanielxK48x

McSheffrey

DanielxK48x

McSheffrey

WhiskeyCola16

McSheffrey

WhiskeyCola16

McSheffrey

WhiskeyCola16

McSheffrey

WhiskeyCola16

McSheffrey

WhiskeyCola16

PayPal einbinden + prüfen ob Zahlung erfolgt ist

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums