动态Paypal按钮加密

时间:2010-11-05 13:44:33

标签: php paypal

我正在使用PHP& amp;来设计订购网站Mysql的。在最后阶段,用户被给予Paypal按钮以支付他所做的订单。因此,项目名称,值是变量。 这些值是变量,我不能使用Paypal的加密按钮。我必须使用非加密按钮或在将其显示给用户之前加密它。

我希望出于安全原因加密它。我想知道如何在我的服务器上执行此操作。

6 个答案:

答案 0 :(得分:31)

您需要做的事情相当复杂,首先,介绍,paypal加密按钮具有以下布局:

    <form action="https://www.paypal.com/cgi-bin/webscr" method="post">
<input type="hidden" name="cmd" value="_s-xclick">
<input type="hidden" name="encrypted" value="-----BEGIN PKCS7-----MIIIEQYJKo...Encrypted stuff...IF5ioje8JH0LAA+5U7P+tabAMOL37k=-----END PKCS7-----">
<input type="image" src="https://www.paypalobjects.com/es_XC/MX/i/btn/btn_buynowCC_LG.gif" border="0" name="submit" alt="PayPal, la forma más segura y rápida de pagar en línea.">
<img alt="" border="0" src="https://www.paypalobjects.com/es_XC/i/scr/pixel.gif" width="1" height="1">
    </form>

cmd字段表示加密的“立即购买”按钮(检查您要创建的按钮的值),加密字段是以下布局中按钮的实际内容:

    cert_id=ZQCMJTZS27U4F
    cmd=_xclick
    business=contact@mybiz.com
    item_name=Handheld Computer
    item_number=1234
    custom=sc-id-789
    amount=500.00
    currency_code=USD
    tax=41.25
    shipping=20.00
    no_note=1
    cancel_return=http://www.company.com/cancel.htm

注意,它们采用pair = value格式,完整参考一下:https://cms.paypal.com/us/cgi-bin/?cmd=_render-content&content_ID=developer/e_howto_html_Appx_websitestandard_htmlvariables

现在理论上,为了获得加密字段,加密良好,您需要使用您的证书(x509证书)和私钥签署这些值,然后您需要使用paypal的公共证书加密此签名邮件。

去练习,为了做到这一点你可以(需要)使用以下两个PHP函数(OpenSSL扩展的一部分):openssl_pkcs7_sign和openssl_pkcs7_encrypt。

我发现这最后一部分设置非常棘手,所以我建议你在这里下载适用于PayPal的PHP SDK:https://www.x.com/community/ppx/sdks#WPST并直接在这里:https://cms.paypal.com/cms_content/US/en_US/files/developer/PP_PHP_WPS_Toolkit.zip,这个SDK附带了EWPServices类谁包含encryptButton方法,它为您提供了非常简单的加密按钮;如果您想查看骨骼,请查看为您提供signAndEncrypt方法的PPCrypto类,该方法仅为您提供该字段所需的加密字符串,并向您显示加密按钮的过程。

顺便说一下,如果您不知道如何获取证书和私钥(和/或Paypal证书),请查看:https://cms.paypal.com/us/cgi-bin/?cmd=_render-content&content_ID=developer/e_howto_html_encryptedwebpayments#id08A3I0N30Y4

答案 1 :(得分:4)

从您的帖子中,您似乎对加密的含义以及应用它的内容感到非常困惑。什么是威胁模型? (即如何被颠覆)。

您无法预期paypal将始终处理您发送到客户端浏览器的订单。你必须检查Paypal的处理过程。

订单离开您的网站后,您可以更好地确保订单的完整性,例如通过将订单的哈希添加到您发送给Paypal的订单号(和盐!)。这应该允许您在不参考PLU /存储顺序的情况下验证订单(只要处理来自paypal的返回的脚本知道盐)。

答案 2 :(得分:2)

也许您可以尝试将这些变量放在具有唯一ID的临时表中。然后使用该ID作为按钮。每当客户点击paypal按钮时,从表中查询变量。我希望我理解你的陈述是正确的xD

答案 3 :(得分:2)

我开发了PHP integration toolkit with PayPal Website Payments Standard

这里提到的所有问题都是由助手类处理的。提供了一些基本配置以便于设置。例如,所有加密变量(您的私钥,公共证书......)并受配置限制。本文详细解释了如何使用这些类。

PS:助手类只实现IPN确认。

答案 4 :(得分:1)

唯一可以做到这一点的方法是每次动态查询PayPal以加密按钮。

然而,这种方法效率不高,我认为使用PayPal IPN要好得多。有很多关于如何做到这一点的例子和课程。

答案 5 :(得分:0)

任何人使用您的PayPal电子邮件地址都不能向您发送虚假发票,要求以错误的价格提供产品名称?如果他们要经历更改你的js / html代码以向你发送虚假发票的麻烦......他们可以自己编写(只是提交给'paypal.com/cgi-bin/webscr'的表单)。你真正需要的是卖家的paypal电子邮件吗?

那么为什么加密按钮的麻烦呢?

相关问题
最新问题