那些遇到过的问题

PayPal IPN安全验证

Fac*_*les 3 php payment https paypal paypal-ipn

有PayPal IPN PHP示例代码https://www.x.com/developers/PayPal/documentation-tools/code-sample/216623

有人可以告诉我它是如何安全的,因为我没有得到它?

示例:我有一家网店.我没有https.

  1. 在我们的http://my-magazine.com/process_pp.php上从PayPal接收数据 此数据未加密,因为我的网站位于http.我对吗?所以(如果它没有加密)一些黑客可以改变它.
  2. 我们发送https请求以验证我们在paypal上的付款.
  3. PayPal使用http(而不是https)回答INVALID,因此黑客可以在VERIFIED上再次更改它.黑客获利.

请告诉我,我的错误在哪里.我很困惑,因为其他支付系统使用SecretKey,然后你应该验证他们发送的哈希.

Rob*_*ert 5

你的错误在第3步; 您通过HTTPS将数据发送回PayPal(准确地说是https://www.paypal.com/cgi-bin/webscr?cmd=_notify-validate)并且PayPal会在同一时间发送HTTP响应(SSL安全)与INVALID/VERIFIED响应的连接.
只要您确保验证提供给您的SSL证书,您就可以放心,如果您收到"已验证"回复,则数据是真实的.

顺便提一下,默认的IPN(PHP)示例代码强制证书和cn验证;

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 1);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2);
Run Code Online (Sandbox Code Playgroud)

只需确保在使用时指定了您信任的CA捆绑包,就可以了.另请参见禁用CURLOPT_SSL_VERIFYHOST(libcurl/openssl)的安全后果

归档时间:

查看次数:

1518 次

最近记录:

10 年,3 月 前
禁用CURLOPT_SSL_VERIFYHOST(libcurl/openssl)的安全后果 12
更多相关链接
相关归档
twig中的str_replace 42
php fgetcsv返回所有行 37
无法在OS X 10.9 Mavericks中phpize或配置扩展 34
一个表单,每个按钮有两个提交按钮和不同的操作 29
如何使调试代码不再生产? 28
带有Post参数的PHP重定向 22
PHP session_start() 22
在 Flask + Google App Engine 上启用 SSL 5
智能支付按钮为 IPN 传递自定义变量 5
我可以用BlueSnap销售PayPal产品,并在当天晚些时候收取额外费用吗? 3
难疑归档
Java是"通过引用传递"还是"传递价值"? 6270
什么是"大O"符号的简单英语解释? 4851
做一个"git export"(比如"svn export")? 2312
查找当前目录和文件的目录 2007
JavaScript中的'new'关键字是什么? 1684
抽象函数和虚函数有什么区别? 1526
如何查看Git提交中的更改? 1364
在Android上旋转活动重启 1341
使用jQuery作为JS对象向select中添加选项的最佳方法是什么? 1340
有条件地申请课程的最佳方式是什么? 1172