Веб Универсальный скрипт для работы с платёжными системами

там есть иньекции?

 

Нету, а к чему этот вопрос?

 

Как можно это пофиксить?

 

Да

 

ну просто так сказал, как будто есть.

 

Вставить проверку в pay или вызывать pay только если up_sign вернула положительный ответ(п.с. я смотрел только юнит, может и в интеркассе есть дыра.)

 

Просто добавить IP в список разрешенных для страницы проверки оплаты. В официальной библиотеке Unitpay все это есть. правда там был 1 косяк, который исправили после моего обращения.

 

замени функцию

PHP:

    public function up_sign($reply) { // Проверка цифровой подписи unitpay
        ksort($reply); // сортируем массив
        $exp = explode("-", $this->up['project_id']);
        $Sign = $reply['sign']; // сохраняем подпись
        unset($reply['sign']); // удаляем подпись
        $reply['projectId'] = $exp[0]; // заменяем существующий ид проекта на свой, дабы убедиться, что запрос от нашего UP
        $return = (md5(join(null, $reply).$this->up['key']) != $Sign) ? "error" : "success"; // генирация и проверка подписи
        echo $this->up_json_reply($return, $reply);
return $return;
    }



и в payment.php

PHP:

            case "pay" :
                if($pay->up_sign($_REQUEST['params']) == "error") exit();
                $pay->pay($_REQUEST['params']['sum'], $_REQUEST['params']['account']);
            break;



говнокодное решение проблемы

 

Я тебе уже давно говорил о привязки к IP. UnitPay поняла о чем я говорил, поэтому и ввела фишку смены ключа.

 

Я у себя вообще с 0 написал, просто оповестил тут народ, что есть дыра.

 

Он его уже удалил

 

лови http://rghost.ru/8g2w9zp55

 

Вредоносный файл © Google Chrome

 

Лол? Он про скрипт от фокса, какой семёнчик??
Его и тут хватает..

 

Эм... Ну ок

 

https://www.dropbox.com/s/tnm97xy0rmxle0f/Payment_V3.rar
тестани плз на 2 платежки
вообще не дебажил ничего, ничего не тестил кроме генерации запроса

 

А такое все ещё можно?

 

не в моих интересах, я просто переписал код так, как мне под него будет удобнее писать.
Учитывая то, что я уже выкладывал платежи на ИК и ЮП, выложил новый скрипт, но не тестил.
Под этот проще писать под другие платежки, развелось их как грязи, а народ заказывает

 

Это 20 минут работы с webmoney api, посмотри, там всё просто

 

А что namespace не заюзал(Ну ладно).

Спойлер: Ну блин)

И да тут двоеточие не обязательно.

Спойлер

Пошёл тестить)