Das Problem ist, dass das Modul nicht prüft, ob tatsächlich der Betrag gezahlt wurde, der zu zahlen war. Die Daten lassen sich manipulieren und somit ist es möglich nur einen minimalen Teilbetrag für den Download zu zahlen, der angeboten wird.

und was macht dann bitte

// check payment_status
// check txn_id
// check receiver_email
// check payment_amount/payment_currency
$firstname = $keyarray['first_name'];
$lastname = $keyarray['last_name'];
$itemname = $keyarray['item_name'];
$amount = $keyarray['payment_gross'];

mir ist so als ob der gezahlte betrag von paypal mitgeliefert wird und der dl link nur generiert wird wenn es übereinstimmt.

btw wie kann man den betrag in paypal ändern wenns als rechnungskauf mit festem betrag ist *roll eyes*?

Der zu zahlende Preis wird über das Formular mitgegeben. Dieses lässt sich leicht verfälschen. Zwei einfache Möglichkeiten wären die speicherung und änderung des Formulars auf dem Rechner oder das manipulieren mit Firebug.

// check payment_status
// check txn_id
// check receiver_email
// check payment_amount/payment_currency
$firstname = $keyarray['first_name'];
$lastname = $keyarray['last_name'];
$itemname = $keyarray['item_name'];
$amount = $keyarray['payment_gross'];

Hier werden nur Variablen gesetzt, jedoch keine geprüft.

preise vergleichen ... NEIN

NUR artikel IDs und anzahl, aus denen ergeben sich cart und somit ein preis! andere informationen als artikel ID und anzahl sollten nicht zur berechnung benutzt werden.

Zitat geschrieben von oink


Ähm in dem Script gibt es aber kein Cart (Warenkorb) man kauft die Artikel direkt ohne Warenkorb-Funktion.

Und damit du den Gesamtpreis durch ID * Anzahl ermitteln kannst brauchst du erst mal den Grundpreis aus der DB.

Aber da das ja bei diesem Script wegfällt war es für die aktuelle Version des Script ein sinnloser Gedanke von dir.

Edit:
einfachster Vergleich ob der bezahlte Betrag der zurückgegeben wird stimmt

if ($amount == $DBprice ) {
  weitere gehts...
} else {
  nix gibts!
}

Zuletzt modifiziert von Ahrtas am 15.01.2012 - 19:42:32

wie willst du es dann überprüfen... irgentwie muss es ja zurückgegeben werden?

Lösungsvorschläge ala Warenkorb oder Anzahl der Ware kann man ja vergessen da es hier nichts in dieser Art vorhanden ist :/

Und wird die Bezahlung manipuliert, dann kann man noch über rechtliche Schritte an sein Geld kommen oder Anzeige einreichen via hinterlegte eMail-Adresse bei Paypal ich denke es werden mindestens zwei Punkte (seitens Paypal und dem Verkäufer) verstoßen mit den man rechtliche Schritte einleiten kann.


Zuletzt modifiziert von Ahrtas am 15.01.2012 - 20:25:12

Zitat geschrieben von oink


Ich sagte nur das, das Modul in der aktuellen Version kein Warenkorb besitzt, was aber nicht heist das dieses Modul perfekt ist oder richtig konstruiert wurde - habe ich nicht behauptet.

Und wenn nunmal kein Warenkorb vorhanden ist dann funktioniert es nun einmal so!
Was man selbst hinzuprogrammiert oder ändert ist eine andere Geschichte aber so wie es jetzt ist funktioniert es ohne Warenkorb ob du willst oder nicht - wenn es dir aber nicht passt, dann kannst du es ja umschreiben/erweitern.

Wenn man ein Warenkorb dazu programmiert, muss man den automatischen Download auch komplett umprogrammieren, da im Moment das Modul nur den einen gekauften Artikel als Downloadlink versendet und den Download prüft.

Und am Ende muss dennoch der bezahlte Betrag geprüft werden der von PayPal zurückgegeben wird.

Denn du willst ja nicht das der Kunde drei Artikel im Warenkorb hat, dann über Paypal (eins zahlt) und wieder in dein Shop zurück geleitet wird und dein Shop prüft was der Kunde in seinem Korb hatte und diese Artikel ausgibt ohne zu prüfen ob auch der volle Betrag bezahlt wurde - nach deiner Artikel * Anzahl ohne Preis Theorie. Klar das man Anzahl*DBPreis ausrechnet aber wie willst du das Ergebnis mit PayPal prüfen wenn man den (manipulierbaren) Wert nicht mit in die Prüfung einbeziehen soll - vielleicht erraten?