Natuurlijk! Hier is een stapsgewijze gids voor het ontwerpen en implementeren van een veilige PHP-webhook die realtime orderupdates ontvangt, valideert en opslaat in je database: 1. Webhook URL instellen Zorg dat je een publiek toegankelijke URL hebt, bijvoorbeeld: https://jouwwebsite.nl/webhook.php 2. Veiligheid garanderen a. Authenticatie via Secret Token - Genereer een geheim token dat alleen jij en het externe e-commerce platform kennen. - Voeg dit token toe aan de header of als queryparameter bij het instellen van de webhook op het externe platform. b. HTTPS gebruiken - Zorg dat je server via HTTPS bereikbaar is om gegevens te encrypten tijdens verzending. 3. Verwerking van inkomende verzoeken (PHP-code voorbeeld) ```php <?php // webhook.php // Stap 1: Configureer je secret token define('WEBHOOK_SECRET', 'jouw_zeer_veilig_token'); // Stap 2: Valideer de request headers $headers = getallheaders(); if (!isset($headers['X-Hub-Signature'])) { http_response_code(403); exit('Geen geldige handtekening.'); } // Stap 3: Lees de payload $payload = file_get_contents('php://input'); // Stap 4: Validate de payload met de secret (bijvoorbeeld HMAC) $signature = $headers['X-Hub-Signature']; $computed_signature = 'sha256=' . hash_hmac('sha256', $payload, WEBHOOK_SECRET); if (!hash_equals($computed_signature, $signature)) { http_response_code(403); exit('Ongeldige handtekening.'); } // Stap 5: Decodeer de JSON-data $data = json_decode($payload, true); if (json_last_error() !== JSON_ERROR_NONE) { http_response_code(400); exit('Ongeldige JSON.'); } // Stap 6: Verwerk de orderupdate // Bijvoorbeeld: controleer of het een orderupdate is en sla de gegevens op if (isset($data['order_id']) && isset($data['status'])) { // Verbinding maken met je database try { $db = new PDO('mysql:host=localhost;dbname=jouw_database', 'gebruikersnaam', 'wachtwoord'); $db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); // Voorbeeld: update orderstatus $stmt = $db->prepare("UPDATE orders SET status = :status WHERE order_id = :order_id"); $stmt->execute([ ':status' => $data['status'], ':order_id' => $data['order_id'] ]); } catch (PDOException $e) { http_response_code(500); exit('Databasefout: ' . $e->getMessage()); } } else { http_response_code(400); exit('Ontbrekende gegevens.'); } // Response terug naar externe service http_response_code(200); echo 'Orderupdate ontvangen en verwerkt.'; ?> ``` 4. Extra beveiligingsmaatregelen - Limit IP-adressen of gebruik een firewall om alleen bekende IP’s van het externe platform toe te staan. - Log alle ontvangen verzoeken voor debugging en audit. - Implementeer retry-logica indien nodig. 5. Testen - Gebruik tools zoals Postman of curl om testverzoeken te sturen. - Controleer of de gegevens correct worden opgeslagen en dat de beveiliging werkt. Door deze stappen te volgen, zet je een veilige en robuuste webhook op die orderupdates van je e-commerce platform realtime verwerkt en opslaat in je database.

Hier is een gestructureerde handleiding voor het implementeren van een veilige PHP-webhook: ## 1. Webhook Endpoint Opzetten ```php <?php // webhook.php require_once 'config/database.php'; require_once 'utils/security.php'; require_once 'utils/validation.php'; // Alleen POST requests accepteren if ($_SERVER['REQUEST_METHOD'] !== 'POST') { http_response_code(405); exit('Method Not Allowed'); } // Headers controleren $headers = getallheaders(); $signature = $headers['X-Webhook-Signature'] ?? ''; $eventType = $headers['X-Event-Type'] ?? ''; // Webhook valideren if (!validateWebhookSignature($signature)) { http_response_code(401); exit('Unauthorized'); } // Request body lezen $payload = file_get_contents('php://input'); $data = json_decode($payload, true); // Data valideren if (!validateOrderData($data)) { http_response_code(400); exit('Invalid data'); } // Verwerk de orderupdate try { processOrderUpdate($data, $eventType); http_response_code(200); echo 'Webhook processed successfully'; } catch (Exception $e) { http_response_code(500); error_log('Webhook error: ' . $e->getMessage()); } ?> ``` ## 2. Beveiligingsmaatregelen ```php // utils/security.php function validateWebhookSignature($receivedSignature) { $secretKey = getenv('WEBHOOK_SECRET'); $payload = file_get_contents('php://input'); // HMAC validatie $expectedSignature = hash_hmac('sha256', $payload, $secretKey); return hash_equals($expectedSignature, $receivedSignature); } function validateIpAddress($ip) { $allowedIps = ['192.0.2.0', '203.0.113.0']; // Vertrouwde IP's return in_array($ip, $allowedIps); } ``` ## 3. Data Validatie ```php // utils/validation.php function validateOrderData($data) { $requiredFields = ['order_id', 'customer_id', 'status', 'total_amount']; foreach ($requiredFields as $field) { if (!isset($data[$field])) { return false; } } // Type validatie if (!is_numeric($data['order_id']) || !is_numeric($data['total_amount']) || !in_array($data['status'], ['pending', 'paid', 'shipped', 'delivered'])) { return false; } return true; } ``` ## 4. Data Verwerking ```php // process_order.php function processOrderUpdate($data, $eventType) { $pdo = Database::getConnection(); switch ($eventType) { case 'order.created': createOrder($data, $pdo); break; case 'order.updated': updateOrder($data, $pdo); break; case 'order.cancelled': cancelOrder($data, $pdo); break; default: throw new Exception('Unknown event type'); } } function createOrder($data, $pdo) { $stmt = $pdo->prepare(" INSERT INTO orders (order_id, customer_id, status, total_amount, items, created_at) VALUES (?, ?, ?, ?, ?, NOW()) "); $stmt->execute([ $data['order_id'], $data['customer_id'], $data['status'], $data['total_amount'], json_encode($data['items'] ?? []) ]); } ``` ## 5. Database Configuratie ```php // config/database.php class Database { private static $connection = null; public static function getConnection() { if (self::$connection === null) { self::$connection = new PDO( 'mysql:host=' . getenv('DB_HOST') . ';dbname=' . getenv('DB_NAME'), getenv('DB_USER'), getenv('DB_PASS') ); self::$connection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); } return self::$connection; } } ``` ## 6. .env Bestand (Beveiliging) ``` WEBHOOK_SECRET=your_secure_secret_key_here DB_HOST=localhost DB_NAME=your_database DB_USER=your_username DB_PASS=your_password ALLOWED_IPS=192.0.2.0,203.0.113.0 ``` ## 7. Extra Beveiligingsmaatregelen - **Rate Limiting**: Implementeer request limiting - **SSL**: Gebruik altijd HTTPS - **Input Sanitization**: Reinig alle input data - **Logging**: Log alle webhook activiteiten - **Retry Mechanism**: Implementeer error handling ## Gebruik: 1. Stel de webhook URL in bij je e-commerce platform 2. Configureer de environment variabelen 3. Implementeer eventuele extra validaties specifiek voor je platform 4. Test uitgebreid met verschillende scenario's Let op: Pas deze code aan naar je specifieke database structuur en bedrijfslogica.