Manipulation de PayPal IPN: est-il nécessaire? Puis-je utiliser une autre méthode?

StackOverflow https://stackoverflow.com/questions/3459919

  •  27-09-2019
  •  | 
  •  

Question

Lecture PayPal documentation pour les développeurs (ce qui est beaucoup de documentation) Je ne sais pas si IPN est obligatoire ou je peux simplement l'ignorer.

Bien sûr, je dois mettre en œuvre un autre mécanisme afin de savoir si le paiement était correct. Je pensais faire quelque chose comme ceci:

  • Créer un nouveau paiement (via un service web) avec un code différent dans les deux returnUrl et CancelURL. Ces codes sont générés au hasard pour chaque paiement et stockés dans DB.

  • Lorsque l'utilisateur se termine le paiement (OK ou KO), PayPal redirigera sa page à mon site et je serai en mesure de savoir si le code est correct.

  • S'il y a un problème (utilisateur ferme la fenêtre, la réponse ne se présente pas, les codes ne correspondent pas ...) seront traitées à la recherche manuellement les transactions sur le site PayPal.

Pensez-vous que c'est ok?

Merci.

Était-ce utile?

La solution

Non, je pense que les sons affreux.

L'utilisateur peut sauter l'étape de paiement et simplement modifier ensemble votre URL requise, puis collez-le dans la barre d'adresse du navigateur. Cela leur donnerait le produit libre.

Vous pouvez utiliser les API SOAP PayPal pour vérifier la transaction une fois que vous recevez l'URL. Vous ne pouvez pas simplement faire confiance à cette URL aveuglément la seconde que vous recevez.

Vous devez veiller à ne pas permettre aux utilisateurs de vous envoyer l'URL du paiement d'une autre personne, et de recevoir le produit à deux reprises pour ce paiement. (Une fois au bénéficiaire réel, une fois à fraudeur ...)

Il est important que vous vérifiez que vous touchiez le montant exact. (En supposant que vous souciez que vous avez été payé le montant exact.)

En général, lorsque vous l'interface avec PayPal, quelle que soit la méthode utilisée, il est important que vous compreniez la sécurité du logiciel et la modélisation des menaces. Dans le cas contraire, il n'y a vraiment qu'une petite chance que vous serez à l'abri de la fraude.

Autres conseils

Paypal ont conçu leur système soit aussi logiquement assurer qu'ils pensent qu'il peut. Je ne voudrais pas commencer à redessiner un système qu'ils ont passé beaucoup de temps à développer et réflexion. Votre ignorant tout autant de fonctionnalités de sécurité qui sont là pour votre avantage.

Pour une si ces deux clés sont toujours accessbile à côté client de format brut à tout moment, vous avez un système facilement piratable. Cliquez simplement par le à Paypal page de paiement, puis saisissez l'adresse de retour dans votre navigateur sans avoir à payer effectivement, votre système va le traiter comme une transaction valide à moins que vous vérifier manuellement pour vous-même avant d'expédier les marchandises (pour egoods il serait trop tard cependant).

Ou le hacker peut deviner la clé de retour. Il va devoir être longue et très aléatoire, si elle est une clé que vous avez à nouveau incrémenter un super système facilement piratable.

Pour vérifier un paiement IPN est essentiel. Ne prenez pas de raccourcis, faites-le juste quand il y a d'argent en jeu.

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top