在我的网站中,我集成了一个接收 IPN 通知并向客户发送许可证密钥的 php 脚本。此脚本与 php 脚本所需的其他 2 个 php 文件位于一个文件夹中...如何保护此文件夹?如果我将.htaccess 放入其中:
order allow,deny
deny from all
我也屏蔽了贝宝通知。
我该如何保护它?我需要吗?
【问题讨论】:
标签: php paypal paypal-ipn
您可以安全地将您的 IPN 脚本的访问权限限制为以下 IP 地址列表:
216.113.188.202
216.113.188.203
216.113.188.204
66.211.170.66
这可以通过以下方式完成:
if (!in_array($_SERVER['REMOTE_ADDR'],array('216.113.188.202','216.113.188.203','216.113.188.204','66.211.170.66')) {
header("HTTP/1.0 404 Not Found");
exit();
}
只有 Paypal 才能通过这种方式访问 IPN 脚本。
这个 IP 地址列表多年来一直相当稳定。如果 Paypal 添加了新地址,您可以将报告添加到电子邮件并手动查看此类案例。
【讨论】:
你可以做很多事情:
【讨论】:
你为什么要这样做?
在 IPN 系统中,您首先只需使用 cURL 或 fshock 或其他任何方式将传递给您的 ipn 脚本的变量反弹回贝宝...查看响应您可以判断它是否是有效交易...有人不能伪造贝宝本身不存在的交易变量...他们所能做的就是再次重用旧交易信息来欺骗您的脚本..因为它存在于贝宝上,您的脚本将假设它是成功的付款...
所以您可以通过将 txn_id 与您的数据库进行比较来防止这种情况发生,如果您的数据库中已经存在这意味着有人试图使用已经记录的交易信息来欺骗您...
既然你做了那些关心那些调用这个 ipn 脚本的人的检查......它不会为他们工作,因为你检查了 paypal 和你的数据库的变量......
在任何例外情况下,打印一个漂亮的句子告诉他们“这个脚本很健壮!不要试图欺骗我们!”
【讨论】:
如果您知道 PayPal 将使用该脚本的 IP,请尝试:
order deny, allow
deny from all
allow from [Paypal-IP]
【讨论】:
我不建议关闭所有 IP,因为您无法确定 Paypal 是否会始终保持来自同一 IP 的请求。如果他们决定更改其 IP 范围,您的设置将会中断,可能不会通知您。
我认为处理 Paypal 请求的脚本是处理此问题的地方 - 在该脚本中,您需要确保请求实际上来自 Paypal。您可以通过使用一些不易猜到的晦涩 URL 来做到这一点,正如建议的那样。
如果可能,请查看 IPN 的共享密钥设置 - 这样您就可以更好地检查请求是否确实来自 Paypal,尽管设置起来有点困难。
希望这会有所帮助!
【讨论】:
查看上线清单:
(开发者主页 > 操作方法 > API > 上线清单)
获取允许的 IP 地址列表
【讨论】:
现在我已经这样做了:
在存储 php 脚本和 2 个配置文件的文件夹中,我创建了另一个文件夹,我在其中移动了 2 个配置文件,并在其中放置了带有以下代码的 .htaccess:
order allow,deny
deny from all
现在这两个配置文件有了很好的保护! ...但不是接收通知的脚本! 如果我尝试使用以下命令阻止目录列表(包含 php 脚本和配置文件夹的文件夹):
IndexIgnore *
paypal 沙盒给我一个错误 500!
所以为了保护脚本,我唯一能做的就是在它的头部放置一个验证通知来自 paypal.com 的条件?
最后我在 php 脚本的头部添加了一个基于远程主机名的 if 语句:
$remote_host = gethostbyaddr($_SERVER['REMOTE_ADDR']);
如果有人感兴趣,也可以查询$_SERVER['REMOTE_HOST'],但必须在服务器上配置httpd.conf文件。
【讨论】: