Подтвердить, что вызов IPN поступил от PayPal?

Question

Подтвердить, что вызов IPN поступил от PayPal?

Как я могу подтвердить, что запрос PayPal IPN POST на мой указанный notifyURL действительно исходит от PayPal?

Я не имею в виду сравнение данных с тем, что я отправил ранее, но как я могу убедиться, что сервер / IP-адрес, с которого поступил этот запрос PayPal, действительно действителен?

8

php security paypal paypal-ipn

Источник

user878354 31 янв '11 в 06:34

6 ответов

Другие вопросы по тегам php security paypal paypal-ipn

user148870 31 янв '11 в 06:37 2011-01-31 06:37 · Answer 1 · 2011-01-31 06:37

Протокол IPN состоит из трех этапов:
PayPal отправляет вашему слушателю IPN сообщение, уведомляющее вас о событии
Ваш слушатель отправляет полное неизмененное сообщение обратно в PayPal; сообщение должно содержать те же поля в том же порядке и быть закодировано так же, как и исходное сообщение
PayPal отправляет обратно одно слово, которое либо ПРОВЕРЯЕТСЯ, если сообщение отправлено с помощью PayPal, либо НЕДОПУСТИМО, если есть расхождение с тем, что было отправлено изначально.

https://cms.paypal.com/us/cgi-bin/?cmd=_render-content&content_ID=developer/e_howto_admin_IPNIntro

user846817 15 июл '11 в 16:25 2011-07-15 16:25 · Answer 2 · 2011-07-15 16:25

Это самый простой способ, который я нашел для этого, также в соответствии с рекомендациями PayPal. Я использую http_build_query() для создания URL-адреса из сообщения, отправленного на сайт из PayPal. Paypal docs заявляет, что вы должны отправить это обратно для проверки, и это то, что мы делаем с file_get_contents. Вы заметите, что я использую strstr, чтобы проверить, присутствует ли слово "VERIFIED", и поэтому мы продолжим работу, если нет, мы вернем false...

$verify_url = 'https://www.sandbox.paypal.com/cgi-bin/webscr?cmd=_notify-validate&' . http_build_query( $_POST );   

if( !strstr( file_get_contents( $verify_url ), 'VERIFIED' ) ) return false;

user594867 26 окт '15 в 19:56 2015-10-26 19:56 · Answer 3 · 2015-10-26 19:56

HTTP-заголовок User-Agent требуется сейчас!

$vrf = file_get_contents('https://www.paypal.com/cgi-bin/webscr?cmd=_notify-validate', false, stream_context_create(array(
    'http' => array(
        'header'  => "Content-type: application/x-www-form-urlencoded\r\nUser-Agent: MyAPP 1.0\r\n",
        'method'  => 'POST',
        'content' => http_build_query($_POST)
    )
)));

if ( $vrf == 'VERIFIED' ) {
    // Check that the payment_status is Completed
    // Check that txn_id has not been previously processed
    // Check that receiver_email is your Primary PayPal email
    // Check that payment_amount/payment_currency are correct
    // process payment
}

user1264409 06 май '15 в 15:59 2015-05-06 15:59 · Answer 4 · 2015-05-06 15:59

https://gist.github.com/mrded/a596b0d005e84bc27bad

function paypal_is_transaction_valid($data) {
  $context = stream_context_create(array(
    'http' => array(
      'header'  => "Content-type: application/x-www-form-urlencoded\r\n",
      'method'  => 'POST',
      'content' => http_build_query($data),
    ),
  ));
  $content = file_get_contents('https://www.sandbox.paypal.com/cgi-bin/webscr?cmd=_notify-validate', false, $context);

  return (bool) strstr($content, 'VERIFIED');
}

user22674 31 янв '11 в 12:33 2011-01-31 12:33 · Answer 5 · 2011-01-31 12:33

Если я правильно помню, PayPal использует статический IP для своих вызовов IPN.

Таким образом, проверка правильности IP должна работать.

в качестве альтернативы, вы можете использовать gethostbyaddr или же gethostbyname,

1

Источник

user22674 31 янв '11 в 12:33

user89771 14 фев '11 в 02:14 2011-02-14 02:14 · Answer 6 · 2011-02-14 02:14

Это то, что я использую:

if (preg_match('~^(?:.+[.])?paypal[.]com$~', gethostbyaddr($_SERVER['REMOTE_ADDR'])) > 0)
{
    // came from paypal.com (unless your server got r00ted)
}

-1

Источник

user89771 14 фев '11 в 02:14