PHP POST推荐人

时间:2011-02-27 22:41:54

标签: post paypal referrer

我正在实施PayPal IPN页面,并希望检查以确保请求真正来自PayPal而不是欺骗。 我会假设HTTP_REFERRER不是一个好的检查方式? 我尝试过这种方法,变量就是空的。

有没有办法检查帖子的来源?也许在HTTP请求标题中?

以及相关的附注。从安全的角度来看,这种方法有多可靠?

3 个答案:

答案 0 :(得分:2)

这将是完全不可靠的,因为有人可以像欺骗请求一样轻易地欺骗Referer字段。

您需要做的是使用PayPal记录的IPN验证协议,该协议涉及使用cmd = _notify-validate将IPN通知发回PayPal。有关详细信息,请参阅PayPal IPN documentation

答案 1 :(得分:1)

此变量有拼写错误,实际上拼写为$_SERVER['HTTP_REFERER']。所以,确保你正确检查它。

从安全的角度来看,这完全是假的,所以不要只依赖它。

答案 2 :(得分:1)

PayPal将verify_sign附加到所有IPN帖子。

PayPal IPN Docs