我正在尝试整合 PHP-PayPal-IPN (很棒的图书馆顺便说一句,你可以看到关于用法的博客文章 here )。
由于这里的安全性是必不可少的,所以我检查了源代码。我没有发现明显的问题,但我还想检查与库捆绑的 PayPal 证书链:https://github.com/Quixotix/PHP-PayPal-IPN/tree/master/cert
如何检查证书链是否正确? (正确 ==“它只允许来自 PayPal 的连接,其他任何地方都不允许”)
最佳答案
我认为这不是重点。该 SSL 仅允许您在安全服务器上设置 IPN 脚本,以便对数据进行加密。据我所知,它不会阻止不是来自 PayPal 服务器的脚本命中。
这就是验证/未验证支票发挥作用的地方。如果数据来自 PayPal 以外的任何地方,它将落入代码的未验证部分。您可以根据需要选择处理这些。完全忽略它们,将它们记录为无效但保留它们作为您的记录,给自己发送电子邮件通知等。
关于php - 验证 PayPal IPN 的证书链,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14660686/