2

我正在整合贝宝,我已经正确地完成了。我已经设置了返回 URL,所以它在 url 中给了我下面的结果集$_GET

Array ( [tx] => 7XV08083GT683520Y [st] => Completed [amt] => 22.16 [cc] => USD [cm] => [item_number] => item_number )

我担心的是无法验证从 Paypal 返回的数据。我体验过其他支付网关。其他支付网关允许您这样做hashMatch,以确保表单提交的数据未被编辑。

我的表格如下。

<form method="post" action="https://www.sandbox.paypal.com/cgi-bin/webscr">
<!-- Identify your business so that you can collect the payments. -->
<input type="hidden" value="dasun_1358759028_biz@archmage.lk" name="business">
<!-- Specify a Buy Now button. -->
<input type="hidden" value="_xclick" name="cmd">
<!-- Specify details about the item that buyers will purchase. -->
<input type="hidden" value="AM Test Item" name="item_name">
<input type="hidden" value="22.16" name="amount">
<input type="hidden" name="currency_code" value="USD">
<input type="hidden" value="item_number" name="item_number">
<!-- Display the payment button. -->
<input type="image" name="submit" border="0" src="https://www.paypalobjects.com/en_US/i/btn/btn_buynow_LG.gif" alt="PayPal - The safer, easier way to pay online">
<img alt="" border="0" width="1" height="1" src="https://www.paypalobjects.com/en_US/i/scr/pixel.gif" >
</form>

我的php代码输出

 <input type="hidden" value="50.16" name="amount">

但是我使用了萤火虫并将其编辑到下面并付款。

<input type="hidden" value="22.16" name="amount">

我仍然得到结果,因为它是Completed付款,但它不应该是因为我手动进行了更改。任何有知识的人都可以编辑它们。我如何确保这是一笔有效的付款?如何确保不会像我一样编辑表单数据?

4

4 回答 4

1

任何重要且需要数据库交互的东西都应该使用 Paypals IPN 来处理必须验证的数据。本质上,Paypal 将在您的网站上发布带有数据的 URL,而您的脚本必须将确切的数据发布回来,并加上一个命令来验证数据是否确实正确。在 Paypal 给出“已验证”响应后,您将更新您的数据。

另一种选择是使用 Paypal 的快速结帐,基本上你得到一个“ok”来向客户收取“x”金额,一旦客户同意支付金额,你将数据发布到 Paypal 与客户的“协议”,你会如果交易完成与否,得到响应。

https://www.paypal.com/ipn

https://www.x.com/developers/paypal/documentation-tools/express-checkout/integration-guide/ECGettingStarted

于 2013-01-22T18:28:39.620 回答
0

您可以尝试其中一些:

1) 在 PayPal 网站上创建一个加密按钮

2) 使用加密网站支付 (EWP) 动态加密按钮

可在: http: //www.paypalobjects.com/en_US/ebook/PP_WebsitePaymentsStandard_IntegrationGuide/encryptedwebpayments.html

此外,这个 SO 链接有一些细节: Dynamic PayPal button generation - 是不是很不安全?

于 2013-01-25T00:25:55.137 回答
0

在重定向到贝宝之前,将您的数据存储在数据库中(product_id、金额、数量等)

从 payapl 返回后,使用您的数据库检查返回值。

这是正确的做法。

于 2013-01-22T05:13:35.293 回答
0

如果您想通知您是否从贝宝返回,您应该使用贝宝 API 而不是“立即购买”按钮 API 提供更多的灵活性和权力来控制您的支付过程

于 2013-01-23T06:45:58.867 回答