PayPal und checkout_process.php

[Ithelp4u]

Hallo Zusammen,

ich hoffe jemand kann mir behilflich sein, da ich zwar gute Entwicklungserfahrung habe, aber XT:Commerce Version 3 (Es geht nicht um Veyton) für mich neu ist.

Das Problem ist (Eventuell ist dies auch eine Sicherheitslücke in XT:Commerce):

Nach meiner jetzigen Kenntniss erfolgt der Prozess "Checkout_Process.php" nach zwei Möglichkeiten:

1) Entweder nachdem der Prozess "Checkout_Payment.php" erfolgt ist.

2) Oder nachdem man z.B. mit PayPal bezhalt hat und auf "Zurück zum Shop klickt".

Schritte die zum Problem führen. Ab Punkt 3 ist dies meiner Meinung nach auch ein Sicherheitsproblem:

1) Während der Prozess "Checkout_Process.php" ausgeführt wird (In der Regel nach "Checkout_Payment.php") wird eine Temporäre Order-ID in die User-Session gesetzt.

2) Ist der genannte Prozess fertig ausgeführt und drückt nun im Shop auf "Bestellen", wird man z.B. zu PayPal weitergeleitet.

3) Der Kunde hat nun die Möglichkeit nicht zu Bezahlen, aber in der URL im Browser direkt "https://Shop/checkout_process.php" einzugeben.

Weil die temporäge Order ID (oID) noch in der Session ist, leitet dieser Prozess den Kunden weiter zum Prozess "checkout_success.php". Dies sugerriert dem Kunden, der Prozess wäre erfolgreich und ein Produkt (Welches z.B. nicht versendet werden muss, z.B. eine Pin oder sonstiges) wird dem Kunden veröffentlicht.

Mein Ziel:

Wenn ein Kunde versucht, den "Checkout_Process" direkt aufzurufen, bevor bezahlt worden ist, dann soll dieser wieder am besten zur Loginseite geschickt werden

Gibt es dazu eine fertige und bewährte Lösung? Ich bitte jemanden der sich tief in der Materie auskennt, mir einen Hinweis zugeben. Bitte fragt mich nochmal wenn etwas nicht verstanden ist.

V. Grüße

Ithelp4u