记一次支付异步校验逻辑漏洞,以前支付出现问题很长时间了,最后经过日志发现是最后核对金额时出现了问题。php
举例,当用户使用微信支付1笔商品价格为19.9元的订单时,微信支付平台异步回调时会获得具体的用户支付金额。html
如1990(以分为单位,即19.90元)。数据库
校验逻辑服务器
<?php $notify_money = 1990;//微信服务器返回的金额 $db_money = 19.90;//数据库存储的订单金额 if(intval($notify_money) === intval($db_money*100)){ echo 'SUCCESS'; }else{ echo 'FAIL'; }
这个逻辑,第一眼看起来可能没什么问题,在实际的使用状况下,有的订单则会经过(SUCCESS),有的则可能会失败(FAIL)。微信
通过测试,发现这两个值的intval结果是彻底不一样的。异步
最后查阅了一番发现这是浮点数处理不当引发的问题。测试
http://php.net/manual/en/function.intval.php#60793微信支付
http://www.laruence.com/2013/03/26/2884.html.net
拜读了鸟哥的讲解以后,内心终于明白是怎么回事了。日志
最终的解决办法是,换作round或者先将浮点转换到字符串再使用intval进行便可。
修改后的一个逻辑
<?php $notify_money = 1990;//微信服务器返回的金额 $db_money = 19.90;//数据库存储的订单金额 if(round($notify_money) === round($db_money*100)){ echo 'SUCCESS'; }else{ echo 'FAIL'; } //或 if(intval($notify_money) === intval((string)($db_money*100))){ echo 'SUCCESS'; }else{ echo 'FAIL'; }
这个问题可能不仅仅限于微信支付或者其余支付都有可能遇到,每每就在于多个业务的金额单位不一致致使的。