我正在开发一种在我的网站上接受付款的功能,并且我已经使用 paypal 按钮和 IPN(一个 PHP 侦听器,用于在付款完成后将数据处理到数据库,这实际上是https://github.com/paypal/ipn-code-samples/blob/master/paypal_ipn.php,适当定制)。
我从来没有接触过 PayPal API,我想知道我是否遗漏了什么……我对这种开发有点陌生,我想确保我做对了,没有遗漏任何明显的东西,这可能妥协支付的安全性或其他什么...我已经在 Sandbox 中测试了一些东西,一切都按预期工作,但我担心 API,我看到很多人在使用它...
那么,我错过了什么吗?
谢谢!
【问题讨论】:
标签: paypal paypal-ipn paypal-sandbox
您所做的事情是准确的,只要它适合您的需要,就可以正常工作。
如果您不使用托管按钮,则可能存在一个潜在的安全风险。您在创建按钮时是否选择了“将此按钮保存在 PayPal”?如果是这样,您应该会在按钮的 HTML 中看到一个 hosts_button_id。在这种情况下,它受到保护。
如果按钮代码包含诸如 item_name、数量等的单独参数,那么人们可以在浏览器中调整该代码,然后可以以不同的价格提交按钮。
您可以在您的 IPN 脚本中检查此类事情,如果价格与您的数据库不匹配,则设置自动退款,但我通常会尽量避免此类事情。
我更喜欢使用 Express Checkout API。如果您愿意让 IPN 与 PHP 一起使用,那么您应该很愿意使用此 PayPal PHP SDK 来集成 Express Checkout。
您需要处理的三个调用是 SetExpressCheckout、GetExpressCheckoutDetails 和 DoExpressCheckoutPayment。
This documentation 将介绍一般步骤以及这些调用在何处发挥作用,该库将使每个调用对您来说都非常简单。
Express Checkout 将消除用户可能对代码进行的任何潜在调整(因为与 HTML 不同,他们根本无法访问代码),并且它还具有 PayPal 标准版所没有的更多高级功能和选项。最重要的是,能够强制“访客结账”体验,以便非 PayPal 帐户持有人可以轻松地使用信用卡结账而不会产生任何混淆。
他们也可以使用 PayPal Standard 来做到这一点,但根据他们浏览器中设置的 cookie,这可能会使访客结账选项很难找到。 Express Checkout 始终使其非常突出,并且通常会提高结帐转化率。
【讨论】: