我正在开发一个网站,允许用户通过Paypal付款。Paypal IPN安全
贝宝IPN似乎很容易集成,它在我的本地主机上工作。
现在的问题是,金额和企业名称通过POST数据传递给贝宝。
我知道这样说非常危险,但我不确定什么是替代品。
如何让PayPal IPN安全?
我正在开发一个网站,允许用户通过Paypal付款。Paypal IPN安全
贝宝IPN似乎很容易集成,它在我的本地主机上工作。
现在的问题是,金额和企业名称通过POST数据传递给贝宝。
我知道这样说非常危险,但我不确定什么是替代品。
如何让PayPal IPN安全?
POST数据通过加密发件人和收件人之间数据的安全HTTPS连接发送。这就是所有敏感数据通过互联网发送的方式。如果确实很危险,Paypal和每个处理敏感信息的知名网站都不会使用它。
甚至可以在https上编辑POST数据吗? – keithics 2010-04-23 13:40:47
通过HTTPS发送的数据是加密的,除非攻击者知道如何破解加密,或者他们发现了SSL/TLS中一些以前未知的安全漏洞,否则几乎不可能读取或修改数据。 – 2010-04-23 13:52:16
贝宝在其网站上有示例IPN代码。基本上,你应该做的是检查PayPal发送给你的通知(通过发回你获得的信息,以cmd = notify_validate或类似的东西...这是一段时间,因为我使用IPN),并检查您的数据库以确保他们发回给您的信息与您打算首先传递给它的信息相同。尤其是收款人姓名和付款金额。
如果你做了这些检查,你应该没问题,不管你是否使用HTTPS。但是如果您担心某个网络管理员知道有人为某件商品付费,那么您应该可以将IPN设置为使用HTTPS。
不知道PP IPN很多,我仍然猜测你发送到https地址,不是吗? – KevinDTimm 2010-04-23 13:34:53
我在活服务器上有https。 – keithics 2010-04-23 13:39:26
如果通过在线服务器,您的意思是您连接到的server @ paypal,您已经回答了您自己的问题。 – KevinDTimm 2010-04-23 13:46:26