该如何抓到请求来源判断
我的表单A->B 我在B
用substr_count($_SERVER['HTTP_REFERER'],$_SERVER['SERVER_NAME']
可以判断来源是由哪个网域来的
但是我发生我送去金流后 金流会在导回C 但我在C 用$_SERVER['HTTP_REFERER']是空的
要用什么方式确认是由哪网域 或 ip 确保安全性

金流送过去的参数没有供开发者传的memo值吗？

有的 只是想想知道是否可以由谁导入过来的做为判断方法

换一家好吗二来 HTTP REFERER 是仅供参考的东西，不该拿来做验证你如果要做高度的防护，建议做在确定入帐的部分然后用白名单的方式限定只有某个ip才能存取相关程式

楼上请问如果该金流不是透过 server 呼叫而是透过 redirect将资料在金流成功后才 post 回到网站时，这部分要怎么锁定会比较安全？

你说的是用form传参数吗，这家金流我有印象这部分你完全没办法防，因为只要循着一定的参数就可以偷开单缴费成功的资料回传，我印象他们有程式会ＰＯＳＴ到你的网站我不太清楚你说的金流成功是什么意思如果是取得缴费资讯的部分，你可以对订单的效验做调整如果是确定入帐的部分，你可以观察他们用的IP或Useragent不过个人不建议用 User-Agent 或 Referer 来作为参考这两个 Http Header 是 Http Client 给服务器的也意味着他是可以被伪造的最佳解还是针对IP，因为他们用的专线很固定如果你对这方面还是有疑虑，个人建议换一家金流业者