PayPal IPN - 确保脚本安全
PayPal IPN - Make the script secure
我有一个 IPN 脚本,它位于 ipn.php 文件夹的 root 中。在里面,我几乎检查了我需要的所有东西,以使其尽可能安全:
- 我检查
TXN_ID 是否已被处理。
- 我检查
payment_status 是否已完成。
- 我检查
receiver_email 是否正确。
- 我检查
payment_currency 是否正确。
- 我检查
item_number 和 custom 是否未被用户手动编辑。
还有其他方法可以让它更安全吗?我可以将 ipn.php 放入一个拒绝从 .htaccess 所有人访问的文件夹中并使其以某种方式工作吗?或者我只需要将 ipn.php 重命名为 ipn_40kdizksAoSka.php?
我建议您将文件重命名为更复杂的名称,因为文件名 ipn.php 非常常用。根据脚本的工作方式,您还可以更改它的权限,使其只能由用户读取。
设置自定义获取参数,然后在您的 ipn.php 中对其进行测试,例如,
http://domain.com/ipn.php?secret=Spaceships_RANDOM_STRING_1235325346
请务必更新您的 notifyURL
我有一个 IPN 脚本,它位于 ipn.php 文件夹的 root 中。在里面,我几乎检查了我需要的所有东西,以使其尽可能安全:
- 我检查
TXN_ID是否已被处理。 - 我检查
payment_status是否已完成。 - 我检查
receiver_email是否正确。 - 我检查
payment_currency是否正确。 - 我检查
item_number和custom是否未被用户手动编辑。
还有其他方法可以让它更安全吗?我可以将 ipn.php 放入一个拒绝从 .htaccess 所有人访问的文件夹中并使其以某种方式工作吗?或者我只需要将 ipn.php 重命名为 ipn_40kdizksAoSka.php?
我建议您将文件重命名为更复杂的名称,因为文件名 ipn.php 非常常用。根据脚本的工作方式,您还可以更改它的权限,使其只能由用户读取。
设置自定义获取参数,然后在您的 ipn.php 中对其进行测试,例如, http://domain.com/ipn.php?secret=Spaceships_RANDOM_STRING_1235325346
请务必更新您的 notifyURL