我正在为客户开发一个网站,他希望人们能够通过PayPal购买许可证/支持合同。我难以理解的是如何确保付款安全。我目前的想法是使用MD5或其他任何东西生成随机字符串,将其插入数据库,并将其与其余的PayPal按钮代码一起发送。付款完成后,用户将被重定向到PHP页面,其中有代码可以更新数据库中的信息。唯一阻止黑客给自己许可/无需付费的东西的是随机哈希,可以使用某种嗅探器找到它,并插入PayPal代码返回的POST数据。
因此。我的问题是:如何在成功的PayPal支付上执行自定义PHP代码 ,而不会为互联网中更邪恶的用户留下任何漏洞?
答案 0 :(得分:1)
我认为您应该使用Payment Gateway等PayFlow
答案 1 :(得分:0)
如果您在网站上准备付款,可能已经与您的用户登录会话了吗?
在这种情况下,当用户返回网站时,您可以检查是否有特定的会话变量,如果存在,则执行以下操作
1)检查您的会话,您是否有用户登录?如果您几分钟前刚刚访问过PayPal,我们仍然应该登录。
2)会话是否包含您的sale_id?
3)如果不是,请将用户转储到主页上,记住标题(“Location ...”);死亡( “死的”)。 die()部分很重要
4)如果是,请检查sale_id是否已付款,通知网址应该已经捕获了POSTED支付数据,如果有效,则允许他们更新数据
5)如果是,但无效,允许他们使用其他方法偿还,这意味着将他们重定向到另一个页面以尝试再次付款,但不要让他们访问“更改详细信息”页面,唯一你到达那里的方法是严格验证付款是否成功。
这对你有什么用?