我打算使用eWay作为支付网关,但在实施问题后遇到问题。
由于我不想在任何时候触摸信用卡详细信息,因为PCI要求不通过我的网站存储或转移,我需要将用户重定向到网关托管的页面。用户在那里提供所有详细信息,网关将结果确认返回到我指定的页面,我们称之为payment_done.php。
现在,在payment_done.php中,我不确定是否确认来自支付网关本身或有人刚刚将其发布到我的页面并且是假的。所以我的页面可能会收到确认,但可能根本没有付款。
现在在payment_done.php我需要问eway然后我收到的这个确认(带有一些特定的交易ID)来自他们,如果是的话,金额是正确的等等Eway将返回true / false给我然后我可以确定付款的金额是合适的。
现在的问题是,eway似乎每天只能查询100次此确认。
我现在似乎没有想法,拼命寻求帮助。我还有什么选择?令人难以置信的是,即使使用支付网关托管页面,也没有办法使其工作而不会陷入PCI合规性问题。提前感谢您的帮助。
答案 0 :(得分:0)
答案是双重的。
如果请求来自其他任何地方,您验证该帖子来自eway服务器,您不允许该请求。这是您的主要安全形式。
如果有人在eway想破解你的网站,请执行以下操作:
在向用户发送付款之前,请创建一个长哈希。您可以使用会话变量来保存它。
使用eWAYoption1
参数传递哈希值。
当eway发回答案时,请检查eWAYoption1
值以验证其是否与当前用户付款哈希相匹配。
您必须在验证后立即删除会话变量。即使哈希是错误的,也会使会话变量失效并重新开始。
在哈希值和验证发布的IP地址之间,你应该非常安全。