我有一个用于贝宝的ipn文件,每当进行交易时,贝宝给我发送一个通知,一旦进行了交易,贝宝向我发送通知给我的php文件,我开始处理该交易。PayPal IPN Notificaiton POST可以伪造吗?
用户付费 - >贝宝发送notificaiton与transcation的POST值到我的PHP文件 - >交易被proccesed
我的问题是,可以在此POST值从其他地方insted的实时支付宝发送的?就像有人会发送假的邮政价值到我的IPN PHP文件,我的脚本会认为是贝宝,并将开始处理假交易。
没错。第3步和第4步确保您正在验证的IPN消息是源自PayPal的真正的IPN消息。当然,您需要对像receiver_email这样的东西运行自己的检查,以便它与您的帐户相匹配。 – Robert