如何阻止用户规避付款?

时间:2008-10-27 19:00:38

标签: php cookies paypal

我有一个使用paypal收集电子显示数据付款的网站。变量不能通过paypal传递URL(或者我无法让它们工作)所以我使用cookie来传递项目编号。但是,在cookie写入部分之后,一个狡猾的用户可以直接在地址栏中输入paypal重定向URL并免费获取电子数据。绕过贝宝。我怎么能绕过这个?

以下是一些代码。你会看到我试图通过直接写入cookie(pre_contact.php)和paypal重定向URL(step.php)来让用户感到困难。

//pre_contact.php
<?PHP
global $id;
setcookie("property", $id, time()+1800);
echo "<META HTTP-EQUIV=Refresh CONTENT=\"0; URL=contact.php\">";
?>

//contact.php - paypal pay button
echo "<form action='https://www.paypal.com/cgi-bin/webscr' method='post'>";
echo "<input type='hidden' name='cmd' value='_s-xclick'>";
echo "<input type='hidden' name='hosted_button_id' value='156320'>";
echo "<input type='image'
src='https://www.paypal.com/en_GB/i/btn/btn_paynowCC_LG.gif' border='0' name='submit' 
alt='Click to pay'>";
echo "<img alt='' border='0' src='https://www.paypal.com/en_GB/i/scr/pixel.gif'  width='1' height='1'>";
echo "</form>";

//step.php - paypal redirect on successful payment
<?PHP
require("generate_url.php");
?>

//generate_url.php - This generates a unique URL so the info can only be accessed once
<?PHP
if (eregi("generate_url.php", $_SERVER['SCRIPT_NAME'])) {
Header("Location: index.php"); die();
}
$token = md5(uniqid(rand(),1));
setcookie("token", $token, time()+4);
$cwd = substr($_SERVER['PHP_SELF'],0,strrpos($_SERVER['PHP_SELF'],"/"));
Header("Location: $cwd/get_file.php?q=$token"); die();
?>

//get_file.php - displays the file after payment
$qtoken = $_GET['q'];
if ($qtoken===$_COOKIE["token"]){
$id=$_COOKIE["property"];
DISPLAY FILE HERE!!

提前致谢

3 个答案:

答案 0 :(得分:12)

您可能正在寻找的是Paypal IPN(即时付款通知)..基本上有人从您那里购买产品... Paypal POSTS数据到您指定的脚本/网址(只有您和他们知道)..然后你做的是将数据发回到paypal,以确认他们发送的帖子是真实的,而不是由某人模拟/伪造的。此时你知道交易是有效的。

一旦您收到有效付款的通知,您可以执行类似的操作,例如通过电子邮件发送下载URL,或使用像HTACCESS auth这样简单的东西将所有内容包装到一个小型登录/密码系统中,您就可以开始使用了。

祝你好运。

答案 1 :(得分:11)

我不认为你能够通过你正在采取的方法一步完成你想做的事情,因为你的代码无法知道交易是否真的成功完成。

我认为上述方法的唯一方法是,如果您不自动将它们发送到他们付费的文件中。

相反,他们必须等待您通过Paypal验证他们的交易,然后通过电子邮件向他们发送下载链接。


可能全部使用Paypal API自动完成。我对Paypal API并不熟悉,但它应该是这样的。

  1. 用户决定向您购买商品
  2. 您启动了一项将用户发送到Paypal的交易,并且可能会生成某种交易ID。
  3. 用户付款(或决定取消和/或不付款)
  4. 用户返回您的网站
  5. 您获取交易ID并验证付款是否成功
  6. 如果付款成功,请向用户提供他们付款的内容。

  7. Paypal API Reference

答案 2 :(得分:0)

在其他问题中有大量关于PayPal IPN的信息,从Setting up Paypal to connect to script

开始