我正在尝试整合PHP-PayPal-IPN(很棒的图书馆btw,你可以看到有关使用情况here的博客文章)。
由于安全性至关重要,我已检查过源代码。我发现它没有明显的问题,但我还想查看与库捆绑在一起的PayPal证书链:https://github.com/Quixotix/PHP-PayPal-IPN/tree/master/cert
如何检查证书链是否正确? (正确 ==“它只允许来自PayPal和其他地方的连接”)
答案 0 :(得分:1)
我不认为这是重点。 SSL只允许您在安全的服务器上设置IPN脚本,以便加密数据。据我所知,它不会阻止来自PayPal服务器的脚本命中。
这是验证/未验证支票发挥作用的地方。如果数据来自PayPal以外的任何地方,则它将落入未经验证的代码部分。您可以根据需要选择处理这些。完全忽略它们,将它们记录为无效,但保留它们作为记录,发送自己的电子邮件通知等。