PayPal IPN notify_url php接口

時間 2019-11-12

標籤 paypal ipn notify url php 接口欄目 Java 简体版

原文原文鏈接

寫一個通知接口，用於接收PayPal返回的消息（判斷支付狀態）。php

各個版本的接口實例這裏都有，https://cms.paypal.com/ca/cgi-bin/?&cmd=_render-content&content_ID=developer/library_code_ipn_code_samples。web

下面是一個PHP的例子：數據庫

ipn.php安全

<?  
  
// read the post from PayPal system and add 'cmd'  
$req = 'cmd=_notify-validate';  
  
foreach ($_POST as $key => $value) {  
$value = urlencode(stripslashes($value));  
$req .= "&$key=$value";  
}  
  
// post back to PayPal system to validate  
$header .= "POST /cgi-bin/webscr HTTP/1.0\r\n";  
$header .= "Content-Type: application/x-www-form-urlencoded\r\n";  
$header .= "Content-Length: " . strlen($req) . "\r\n\r\n";  
  
$fp = fsockopen ('ssl://www.sandbox.paypal.com', 443, $errno, $errstr, 30); // 沙盒用  
//$fp = fsockopen ('ssl://www.paypal.com', 443, $errno, $errstr, 30); // 正式用  
  
// assign posted variables to local variables  
$item_name = $_POST['item_name'];  
$item_number = $_POST['item_number'];  
$payment_status = $_POST['payment_status'];  
$payment_amount = $_POST['mc_gross'];  
$payment_currency = $_POST['mc_currency'];  
$txn_id = $_POST['txn_id'];  
$receiver_email = $_POST['receiver_email'];  
$payer_email = $_POST['payer_email'];  
$mc_gross = $_POST['mc_gross ']; // 付款金額  
$custom = $_POST['custom ']; // 獲得訂單號  
  
if (!$fp) {  
// HTTP ERROR  
} else {  
fputs ($fp, $header . $req);  
while (!feof($fp)) {  
$res = fgets ($fp, 1024);  
if (strcmp ($res, "VERIFIED") == 0) {  
// check the payment_status is Completed  
// check that txn_id has not been previously processed  
// check that receiver_email is your Primary PayPal email  
// check that payment_amount/payment_currency are correct  
// process payment  
// 驗證經過。付款成功了，在這裏進行邏輯處理（修改訂單狀態，郵件提醒，自動發貨等）  
}  
else if (strcmp ($res, "INVALID") == 0) {  
// log for manual investigation  
// 驗證失敗，能夠不處理。  
}  
}  
fclose ($fp);  
}  
?>

5）安全性的考慮：app

A）如何防止客戶修改購物表單裏面的參數（特別是amount）。post

在ipn.php中，判斷付款金額$mc_gross是否與訂單所需支付金額一致（根據訂單號查數據庫）。url

B）有沒有可能客戶經過直接給ipn.php提交數據，繞過支付？code

不可能。在ipn.php的一開始就對接收到的數據進行了校驗（將接收到的數據原樣發給PayPal驗證，只有當PayPal檢查認爲是它本身發出的數據時纔會返回"VERIFIED"，不然返回"INVALID"）。orm