Bloker alle referrers undtagen en

<ole>

Ved du godt, at ikke alle klienter sætter referer - og at det er pærelet at fake en anden referer?

/mvh
</bole>

Hmm okay.. forslag til hvad man kan gøre istedet?
Det skal bruges til efter en bruger har betalt via en gateway, bliver de sendt videre til en "thankyou" side, hvor det kan oprette brugernavn og password.

Men, det er ikke så hensigtsmæssig hvis alle der kender adressen "/thankyou.php" kan oprette kontoer.

Hvis du kan følge mig?

Kan du ikke få din betalingsgateway til at videresende til thankyou.php?sessionID=8927342389x87954380ajklsd eller lignende, så det kun er den aktuelle session, eller en anden form for skiftende sikkerhed - Så checker du om den session passer, og vupti :)

Hmm kan se i dokumentationen at de videresender en session variabel til thankyou siden.. Men forstår ik helt hvad du mener.. Hvis man kan spoofe hvor besøgeren kommer fra, kunnne man så ikke også lave en falsk session?

Sorry hvis det er lidt et newb spørgsmål, første gang jeg prøver det her

Hvis du selv laver et checkup på hvad brugerens session er, så er det jo umiddelbart ikke til at spoofe (Da den jo er unik pr. besøg, og kun varer så længe som brugeren er på). Så hvis jeg forsøger at gøre det som session=hahasnyd, vil du blot sortere mig fra, da den ikke passer til min session. Tanken er ikke nødvendigvis 100% sikker, men i hvert fald et stort skridt på vejen.

Opret brugeren og betal bagefter - som alle andre steder.

Desuden tror jeg lovpligtigt før du må hæve på folks kort, at servicen skal være leveret. Som en pakke skal være sendt.

/J

jokkejensen, det med først at hæve efter afsendelse er vist blot en del af at være e-mærket :) Reglerne giver vist frit slag, sådan fik jeg det i hvert fald forklaret sidst jeg opsatte en webshop (!)