PayPal IPN notify_url php接口

时间 2019-11-12

标签 paypal ipn notify url php 接口栏目 Java 繁體版

原文原文链接

写一个通知接口，用于接收PayPal返回的消息（判断支付状态）。php

各个版本的接口实例这里都有，https://cms.paypal.com/ca/cgi-bin/?&cmd=_render-content&content_ID=developer/library_code_ipn_code_samples。web

下面是一个PHP的例子：数据库

ipn.php安全

<?  
  
// read the post from PayPal system and add 'cmd'  
$req = 'cmd=_notify-validate';  
  
foreach ($_POST as $key => $value) {  
$value = urlencode(stripslashes($value));  
$req .= "&$key=$value";  
}  
  
// post back to PayPal system to validate  
$header .= "POST /cgi-bin/webscr HTTP/1.0\r\n";  
$header .= "Content-Type: application/x-www-form-urlencoded\r\n";  
$header .= "Content-Length: " . strlen($req) . "\r\n\r\n";  
  
$fp = fsockopen ('ssl://www.sandbox.paypal.com', 443, $errno, $errstr, 30); // 沙盒用  
//$fp = fsockopen ('ssl://www.paypal.com', 443, $errno, $errstr, 30); // 正式用  
  
// assign posted variables to local variables  
$item_name = $_POST['item_name'];  
$item_number = $_POST['item_number'];  
$payment_status = $_POST['payment_status'];  
$payment_amount = $_POST['mc_gross'];  
$payment_currency = $_POST['mc_currency'];  
$txn_id = $_POST['txn_id'];  
$receiver_email = $_POST['receiver_email'];  
$payer_email = $_POST['payer_email'];  
$mc_gross = $_POST['mc_gross ']; // 付款金额  
$custom = $_POST['custom ']; // 获得订单号  
  
if (!$fp) {  
// HTTP ERROR  
} else {  
fputs ($fp, $header . $req);  
while (!feof($fp)) {  
$res = fgets ($fp, 1024);  
if (strcmp ($res, "VERIFIED") == 0) {  
// check the payment_status is Completed  
// check that txn_id has not been previously processed  
// check that receiver_email is your Primary PayPal email  
// check that payment_amount/payment_currency are correct  
// process payment  
// 验证经过。付款成功了，在这里进行逻辑处理（修改订单状态，邮件提醒，自动发货等）  
}  
else if (strcmp ($res, "INVALID") == 0) {  
// log for manual investigation  
// 验证失败，能够不处理。  
}  
}  
fclose ($fp);  
}  
?>

5）安全性的考虑：app

A）如何防止客户修改购物表单里面的参数（特别是amount）。post

在ipn.php中，判断付款金额$mc_gross是否与订单所需支付金额一致（根据订单号查数据库）。url

B）有没有可能客户经过直接给ipn.php提交数据，绕过支付？code

不可能。在ipn.php的一开始就对接收到的数据进行了校验（将接收到的数据原样发给PayPal验证，只有当PayPal检查认为是它本身发出的数据时才会返回"VERIFIED"，不然返回"INVALID"）。orm