我有一个用于paypal的ipn文件,每当交易完成后,paypal都会向我发送通知,一旦完成交易并且paypal将通知发送给我的php文件,我就开始处理该交易。
用户付款 - > Paypal将通知的POST值发送到我的php文件 - >交易正在进行中
我的问题是,这个POST值是否可以从真正Paypal的其他地方发送?就像有人会将假的帖子值发送到我的ipn php文件中,我的脚本会认为是paypal,并会开始处理假交易。
答案 0 :(得分:2)
如果你验证你的IPN电话,那么不,他们不能伪造。 https://developer.paypal.com/webapps/developer/docs/classic/ipn/ht_ipn/
答案 1 :(得分:1)
理论上,Paypal IPN消息可能是假的,但通知过程包括验证步骤,允许您验证IPN消息。
此过程取自Paypal developer page:
IPN消息身份验证协议包含四个步骤: