付款成功,错误到期,卡验证码,名称和地址

时间:2013-06-20 09:03:27

标签: php paypal credit-card

我有一个PayPal商业帐户。我生成了一个API用户名,密码和签名,并从以前制作的网站复制了一些PHP代码,这些网站将处理表单上的付款字段。

在之前制作的网站上,到目前为止,一切运行良好。但是,在这个新网站上,只要信用卡号有效,我就可以填写姓名,输入错误的截止日期,输入伪卡安全码,并填写地址,付款仍然通过!我看到我的PayPal余额增加,我也看到了我的信用卡上的费用!我现在使用沙盒环境。

怎么可能呢?此外,也许值得注意的是,这笔费用出现在我的信用卡待定交易中,作为一些不相关的业务,“莎莉美容供应”。在我的代码中我没有写过这些文字!我试过美国运通卡和维萨卡。

这是我的代码。 Everything 是从之前制作的网站复制的,除非<REPLACED>注明。代码已经简化了一点。

$paypal = array(
    'version'   => '85.0',
    'endpoint'  => 'https://api-3t.paypal.com/nvp',
    'username'  => '<REPLACED>',
    'password'  => '<REPLACED>',
    'signature' => '<REPLACED>',
);

$request_params = array
                  (
                      'METHOD' => 'DoDirectPayment',
                      'USER' => $paypal['username'],
                      'PWD' => $paypal['password'],
                      'SIGNATURE' => $paypal['signature'],
                      'VERSION' => $paypal['version'],
                      'PAYMENTACTION' => 'Sale',
                      'IPADDRESS' => $_SERVER['REMOTE_ADDR'],
                      'ACCT' => $_POST['form_PaymentCardNumber'],
                      'EXPDATE' => $_POST['form_PaymentCardExpiryMonth'].$_POST['form_PaymentCardExpiryYear'],
                      'CVV2' => $_POST['form_PaymentCardCVV2'],
                      'FIRSTNAME' => $_POST['form_PaymentFirstName'],
                      'LASTNAME' => $_POST['form_PaymentLastName'],
                      'STREET' => $_POST['form_PaymentAddressLine1'],
                      'STREET2' => $_POST['form_PaymentAddressLine2'],
                      'CITY' => $_POST['form_PaymentCity'],
                      'STATE' => $_POST['form_PaymentStateProvince'],
                      'COUNTRYCODE' => $_POST['form_PaymentCountry'],
                      'ZIP' => $_POST['form_PaymentZipPostalCode'],
                      'AMT' => $_POST['form_PaymentAmount'],
                      'CURRENCYCODE' => 'USD',
                      'DESC' => "<REPLACED>"
                  );

$nvp_string = '';
foreach($request_params as $var=>$val)
{
   $nvp_string .= '&'.$var.'='.urlencode($val);
}

$curl = curl_init();
curl_setopt($curl, CURLOPT_VERBOSE, 1);
curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($curl, CURLOPT_TIMEOUT, 30);
curl_setopt($curl, CURLOPT_URL, $paypal['endpoint']);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_POSTFIELDS, $nvp_string);
$result = curl_exec($curl);
curl_close($curl);

function NVPToArray($str)
{
   $proArray = array();
   while(strlen($str))
   {
      // name
      $keypos= strpos($str,'=');
      $keyval = substr($str,0,$keypos);
      // value
      $valuepos = strpos($str,'&') ? strpos($str,'&'): strlen($str);
      $valval = substr($str,$keypos+1,$valuepos-$keypos-1);
      // decoding the respose
      $proArray[$keyval] = urldecode($valval);
      $str = substr($str,$valuepos+1,strlen($str));
   }
   return $proArray;
}

$result = NVPToArray($result);

$paid = false;

if (strtoupper($result['ACK']) === 'SUCCESS' ||
    strtoupper($result['ACK']) === 'SUCCESSWITHWARNING')
{
    $paid = true;
}

我是否应该复制'version' => '85.0'和/或'endpoint' => 'https://api-3t.paypal.com/nvp'?或者,它是什么?

1 个答案:

答案 0 :(得分:1)

如果您使用相同类型的支付服务,那么您应该做的就是这一切。对于通过不正确的信息进行的支付,这可能发生。首先,没有检查查看提供的名称。唯一的检查是CSC和AVS检查。因此,无论您输入的姓名或失效日期是否正确,付款方式仍然可以付诸实施。例如,exp日期被传递给处理器,然后传递给发卡银行。因此,他们可能会或甚至不会查看exp日期,没有真正的检查以确保它匹配。我看到一些卡被批准而其他卡被拒绝。

对于AVS和CSC检查,请记住网关将它们发送给处理器,处理员又将它们发送给发卡银行。然后将响应发送回处理器&gt;网关&gt;商家网站。银行将再次批准这些交易,如果匹配与否,他们只会发回。然后由您根据响应拒绝交易。银行拒绝它们的唯一方法是,持卡人在他们的账户上设置了一些安全检查时间,说明AVS和CSC必须匹配。如果您收到的回复表明他们不匹配,您可以将逻辑编码到系统中以拒绝/信用/取消这些交易,或者您可以在PayPal或Payflow帐户上添加并设置过滤器以自动执行此操作对你而言。

相关问题
最新问题