Tjek at inddata er fra korrekt server!

Du kører sikkert op imod en eller anden betalingsgateway. De stiller ofte (altid?) funktionalitet til rådighed, som du kan bruge til at kontrollere om en given transaktion er i orden eller ej. Jeg vil råde dig til at bruge deres funktionalitet frem for din egen, da du så kan bonge dem, hvis noget går galt hos dig.

du kender $HTTP_REFERER

$HTTP_REFERER er IKKE sikker den sættes af browseren og kan manipuleres.

Det er ikke kun med hensyn til en betalingsgateway. Men det er rigtig at de stiller sikkerheden!

Men jeg søger sikkerheden til andre næsten ligeså vigtige ting.
Og jo, jeg kender $HTTP_REFERER, men som zkn også siger så er det ikke sikkert!

Så jeg søger stadig en slags sikkerhed, samt at tjekke for om brugeren har slået javascript til og at mine javascripts er 100% understøttet hos brugeren.

En anden ting vedr. javscript. Jeg ville aldrig gøre brug af javascript til at sikre pengetransaktioner. Der er simpelthen for mange variable til at det er en god idé. Hellere tage en tur mere tilbage til serveren, hvor man selv har 100% kontrol over tingene. Det er selvfølgelig bare min mening om den sag :)

En måde at validere data på er at sende en kontrolkode med over...
Lad mig give et eksempel: Du har to felter, fornavn og efternavn - $fn og $en. Hvis du vil være sikker på at de har været igennem din server først (du skal altså submitte til din egen server) $valideringsnoegle = md5(md5($fn.$en).'en hemmelig streng');
Nu kan du på den anden server være sikker på at der ikke har været pillet ved data ved blot at checke om validerinsnøglen er den samme - altså i stil med:

if ($_GET['validationkey'] == md5(md5($_GET['fn'].$_GET['en']).'en hemmelig streng'))
{
  // data er valide
}

Vær forsigtig med at bruge javascript til vigtige ting. Men hvis du vil være sikker på om folk har javascript enablet kan du evt gøre følgende.
På hver side require_once('test_js.php');
test_js.php indeholder noget lignende:

session_start();

if (!isset($_SESSION['js_testet']))
{
  // Test for javascript
  $_SESSION['js_testet'] = 1;
  echo "<script>document.location.href = '" . __FILE__ . "?" . $_SERVER['QUERY_STRING'] . "&has_js=1';</script>";
}
else {
  // Der er blevet testet
  if ($_SESSION['js_testet'] != '2')
  {
    // Hvis vi kommer herind er javascript ikke understøttet
    // eller også er testen ikke helt gennemført
    if ($_SESSION['$_GET['has_js'] != '1')
    {
      // Test gennemført - Brugeren har IKKE js enablet
    }
    else
    {
      // Test gennemført - Brugeren har javascript!
      $_SESSION['js_testet'] = 2;
    }
  }
}

:)

Det med at sende en "hemmelig" streng med kaldet er faktisk en god idé.

Men findes der ikke en måde hvorpå jeg kan sende strengen med over uden at brugeren kan se hvad den er?

Jeg mener når man sender med POST eller GET så kan brugeren jo se hvad det er, og forholdvis let bryde det?

Jo han vil altid kunne se "kontrolkoden", men han vil ikke kunne ændre nogle af felterne, da koden så ikke længere vil passe - Han kan ikke bryde den (det er i hvert tilfælde svært), da han skal vide præcis hvordan den er lavet - i vores tilfælde en md5-hash af felterne, denne hash sammensat med en hemmelig streng (denne streng skal kun du kende - på scriptet der sender, og det der modtager - dette er så også md5-hash'et - Det er MEGET svært at bryde. Det er samme princip som ArchiTrade / DIBS (betalingssystem) laver deres kontrolkoder!

kan du så ikke komme med et eksempel på en form (siden dataerne kommer fra)
og siden som skal modtage dataerne?

For jeg kan ikke helt lure det ud fra det du er kommet med!

Ja du er nødt til på din form at POST/GET'e til den samme server for at kunne lave kontrolkoden! Når den så er lavet kan du smide dataene videre til din anden server.
Din side du submit'er til kunne indeholde:

<?php

  $kode = md5(md5($_POST['felt1'].$_POST['felt2']).'hemmelig streng');
  header('location: http://server2/script2.php?felt1='.$_POST['felt1'].'&felt2='.$_POST['felt2'].'&kode='.$kode);

?>

Her bliver data sendt videre med GET variable...

På server2 skal script2 så indeholde:

<?php

  if ($_GET['kode'] != md5(md5($_GET['felt1'].$_GET['felt2']).'hemmelig streng'))
  {
    die('Koden passer ikke!');
  }

?>

Jeg siger mange tak! :-)