通过重定向客户端通过“GET”而不是“POST”发送 PayPal 表单

Question

POST 是通过 PayPal documentations 发送 PayPal 按钮的推荐方法。他们明确表示：

<FORM action="https://www.paypal.com/cgi-bin/webscr" method="post">

重要提示：请勿更改这些值。这些属性是必需的 对于所有支付按钮和购物车上传命令

但是在this tutorial 中，作者在服务器端构建按钮变量，然后将客户端重定向到 PayPal，这将使请求通过“GET”而不是“POST”发送到 PayPal。 类似的东西

这是发送给客户的表单（它没有 PayPal 变量，只有按钮和一些与我的业务相关的可选变量）

<form class="paypal" action="/payments.php" method="post">
    <select name="product">
        <option value="A">A</option>
        <option value="B">B</option>
    </select>
    <input name="discountCode" type="text">
    <input type="image" src="https://www.paypalobjects.com/en_US/i/btn/btn_buynowCC_LG.gif" name="submit" alt="PayPal - The safer, easier way to pay online!">
</form>

然后他在服务器上构建了 PayPal 变量并将客户端重定向到 PayPal 以继续进行

payments.php

$paypal_email = 'user@example.com';
$return_url = 'http://example.com/payment-successful.html';
$cancel_url = 'http://example.com/payment-cancelled.html';
$notify_url = 'http://example.com/payments.php';//same file
$item_name = 'Test Item'; //build the item and amount depend on what is selected in the form
$item_amount = 5.00;

$querystring = '';
$querystring .= "?business=".urlencode($paypal_email)."&";
$querystring .= "cmd=_xclick&";
$querystring .= "item_name=".urlencode($item_name)."&";
$querystring .= "amount=".urlencode($item_amount)."&";
$querystring .= "return=".urlencode(stripslashes($return_url))."&";
$querystring .= "cancel_return=".urlencode(stripslashes($cancel_url))."&";
$querystring .= "notify_url=".urlencode($notify_url);

// Redirect to paypal (will cause GET request to PayPal)
header('location:https://www.sandbox.paypal.com/cgi-bin/webscr'.$querystring);
exit();

这种方法对我有用，但是 POST 方法是 PayPal 推荐的方法。我发现 PHP 更舒服，让我有机会在客户端转到 PayPal 之前做一些工作，例如根据用户选择更新我的后端系统或从 HTML <form> 隐藏一些敏感变量（如 notify_url）（客户仍然可以看到他被引导到的位置）。

在服务器端构建 PayPal 变量然后通过 GET 请求将客户端重定向到 PayPal 是否可靠且受支持？

Answer 1

并不是说这是最好的选择，但是要创建一个帖子表单，您可以编辑您的 payments.php，如下所示：

<?php

$paypal_email = 'user@example.com';
$return_url   = 'http://example.com/payment-successful.html';
$cancel_url   = 'http://example.com/payment-cancelled.html';
$notify_url   = 'http://example.com/payments.php';//same file
$item_name    = 'Test Item'; //build the item and amount depend on what is selected in the form
$item_amount  = 5.00;

$querystring = [
    'business'      => urlencode($paypal_email),
    'cmd'           => '_xclick',
    'item_name'     => urlencode($item_name),
    'amount'        => urlencode($item_amount),
    'return'        => urlencode(stripslashes($return_url)),
    'cancel_return' => urlencode(stripslashes($cancel_url)),
    'notify_url'    => urlencode($notify_url),
];

?>

<html>
<head>
</head>
<body>
    <form id="myForm" action="https://www.sandbox.paypal.com/cgi-bin/webscr" method="POST">
        <?php
        foreach ($querystring as $a => $b) {
            echo "<input type='hidden' name='".htmlentities($a)."' value='".htmlentities($b)."' />";
        }
        ?>
    </form>
    <script type="text/javascript">
        document.getElementById('myForm').submit();
    </script>
</body>
</html>
<?php
exit();

Answer 2

建议使用 POST，因为使用 GET 方法可能会超过最大 URL 长度限制，导致 PayPal 出现以下错误：

HTTP 414 URI 太长

当您开始包含多个产品、名称、价格、服务器令牌、地址等时，这个大小很快就会加起来。就我个人而言，我已经看到在单个产品和最少数据的情况下超过了这个限制，因此跨浏览器更安全使用 POST 的兼容性目的。

Answer 3

在我看来，使用自动提交 javascript 或标头并将字段发送到贝宝并不重要。重要的是，您发送到贝宝的内容不应位于带有“点击立即付款”的表单的隐藏字段中，即不自动提交，否则用户可以在浏览器调试模式下读取这些隐藏字段。我将这些编码变量作为来自页面 (A) 的会话变量传递到单独的发送页面 (B)，对 in (B) 进行解码，生成通过令牌到 paypal 并在 (B) 上进行大量冗余检查，例如页面如果不是来自 (A)，则中止所有 SESSION 变量，并匹配它们未编码的对应项。发送到 paypal 的 pass through 生成的 token 字段被返回，因此可以与它的编码会话对应项进行比较以验证 paypal，尽管您可以 curl 到 paypal 以检查其合法性。您必须以闪电般的速度单独在 (B) 上停止浏览器，理论上您可以阅读两个帖子并到达那里，但不等待用户输入是一个巨大的威慑安全明智的做法，并且您必须复制大量冗余检查变量。