验证POST数据来自PayPal

时间:2014-06-28 19:58:26

标签: php post paypal payflowlink

如何验证来自PayPal的POST数据?

我正在开一家销售某些产品的商店。支付网关是PayPal。 最初我设置了一个自定义PayPal表单,并使用IPN响应来验证从PayPal发送给我的数据。

现在我的客户已经购买了使用PayPal PayFlow的PayPal预付款。响应不再通过IPN发送(或者是吗?)而是由SILENT POST返回,基本上当事务在其结束时执行时,它被发送到我选择的链接并且我通过该链接处理数据。

如何验证POST数据的来源,因此我知道它来自PayPal,而不是恶意用户。我找不到任何关于此的文件。当用户点击paypal页面上的“取消”按钮并将其重定向到我网站上的取消页面时,我也想要同样的想法。我希望POST数据源也经过验证。

对此有何想法?

1 个答案:

答案 0 :(得分:1)

第一个解决方案比我发现,也有一些PayPal支持人员提到类似的东西,但他不能提供细节,因为他说他不是专家。

基本上你必须使用从SILENT POST收到的PNREF运行INQUIRY类型的TRANSACTION,如果响应返回ORIGRESULT等于0,那么该交易存在于您账户下的PayPal数据库中。

我还发送了SECURE TOKEN ID和SECURE TOKEN的询问,我不知道它是否有帮助,我在某处看到这是一个解决方案,我尝试在没有ORIGID的情况下发送TOKEN和TOKEN ID,有时它有时会工作不。

在PayPal的开发者引用中指定在TRXTYPE = I(查询交易)中必须指定ORIGID。

以下代码:

//GET POST DATA FROM SILENT POST
$data = $_POST;
$result = $data['RESULT'];
$pnref = $data['PNREF'];
$secure_token = $data['SECURETOKEN'];
$secure_token_id = $data['SECURETOKENID'];
$fee_amount = $data['AMT'];

if(!isset($result) || $result != '0'){
  //DO TRANSACTION FAILED OPERATIONS
  exit;
}

//CHECK IF PNREF ID EXISTS ON PAYPAL
$post_data = "PARTNER=yourpartnerid"
            ."&VENDOR=your_vendor"
            ."&USER=your_user"
            ."&PWD=your_password"
            ."&SECURETOKENID=" . $secure_token_id
            ."&SECURETOKEN=" . $secure_token
            ."&ORIGID=" . $pnref
            ."&TRXTYPE=I"
            ."&VERBOSITY=HIGH";


$ch = curl_init('https://payflowpro.paypal.com');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
curl_setopt($ch, CURLOPT_POST, TRUE);
curl_setopt($ch, CURLOPT_POSTFIELDS, $post_data);       
$resp = curl_exec($ch);

$inquiry = array();
parse_str($resp, $inquiry);

//IF ORIGRESULT is 0 then PNREF/transaction exists.
if($inquiry['ORIGRESULT'] == '0' && $inquiry['RESPMSG'] == 'Approved'){ $validated = true; }
else{ $validated = false; }

if($result != 0 || $amount != 'your_correct_fee' || $validated == false){
  // DO TRANSACTION NOT VALID OR HAS FAILED OPERATIONS
  exit;
}

//DO TRANSACTION SUCCESSFULL OPERATIONS

来自询问的回应是这样的:

RESULT=0&PNREF=ETHPC0BBF5FB&TRANSSTATE=8&ORIGRESULT=0&ORIGPNREF=ELFPB0E766F5&RESPMSG=Approved&AVSADDR=N&AVSZIP=N&ORIGPPREF=8GT035513B296200N&CORRELATIONID=97306f6456378&SETTLE_DATE=2014-07-09 14:11:36&TRANSTIME=2014-07-09 14:11:36&FIRSTNAME=John&LASTNAME=doe&AMT=0.0

另一种方法是检查SILENT POST即将来临的IP。 我注意到所有SILENT POST数据都来自173.0.81.65 

$ip_address = $_SERVER['REMOTE_ADDR'];
if($ip_address != '173.0.81.65'){ exit; }

@Andrew Angel SILENT POST和NotifyURL不是一回事。 从NotifyURL开始,您可以使用IPN和数据验证,因为您收到了不同类型的后期数据字符串,因此它的完成方式非常不同。

我与PayPal支持人员谈过,他们表示只有PayPal Payments Pro才能使用NotifyURL和IPN进行PayPal高级付款。

事实上,它们都具有相同的功能,但它们是不同的东西,而源验证则以不同的方式完成。

希望这有助于某人等待意见。

相关问题
最新问题