Valider l'IPN d'appel est de PayPal?
Comment puis-je valider que PayPal IPN requête POST à mon spécifié notifyURL est en effet en train de PayPal?
Je ne veux pas dire en comparant les données de ce que j'ai envoyé plus tôt, mais comment puis-je vérifier que le serveur /adresse IP de cette demande PayPal vient est en effet un valide?
Les méthodes présentées ici pour la validation d'où l'IPN post de retour est venu de ne pas infaillible, et ne pas vraiment vous faire beaucoup plus sûr que vous êtes déjà. Mettre en œuvre les meilleures pratiques recommandées par PayPal. Si ils étaient en insécurité, PayPal aurait des enjeux de taille, compte tenu de leur entière de la marque est construite sur la confiance des utilisateurs.
OriginalL'auteur siliconpi | 2011-01-31
Vous devez vous connecter pour publier un commentaire.
https://cms.paypal.com/us/cgi-bin/?cmd=_render-content&content_ID=developer/e_howto_admin_IPNIntro
Est-il une raison pour laquelle vous avez besoin de l'être? Après tout, le but du processus en 3 étapes décrites ci-dessus est qu'il est impossible pour quelqu'un d'autre pour appeler votre IPN auditeur et toujours obtenir une vérification des interventions...
Je ne suis pas à 100% familier avec man-in-the-middle attaques de type, mais je pense à une plus forte vérification que la demande est venue de la part de PayPal serait plus prudent...
Plus ou moins sur le même sujet: stackoverflow.com/questions/2856530/paypal-ipn-security
+1, les autres réponses sont juste au hasard bullcrap.
OriginalL'auteur Amber
C'est la façon la plus simple que j'ai trouvé pour le faire, aussi que par PayPal suggère. J'utilise http_build_query() pour construire l'url du post qui a été envoyé vers le site de paypal. Paypal docs, il vous faut envoyer ce retour à des fins de vérification et c'est ce que nous faisons avec file_get_contents. vous remarquerez que j'utilise strstr pour vérifier si le mot "VÉRIFIÉE" est présent et si nous continuons dans la fonction, sinon on retourne faux...
L'en-tête HTTP User-Agent dès maintenant!
OriginalL'auteur Lobos
En-tête HTTP User-Agent dès maintenant!
Si je suis en essais avec le bac à sable, l'URL de l'être http://www.sandbox.paypal.com pour s'authentifier, ou http://www.paypal.com?
OriginalL'auteur Sergey Shuchkin
https://gist.github.com/mrded/a596b0d005e84bc27badOriginalL'auteur mrded
Si je me souviens bien, PayPal utilise une adresse IP statique pour la IPN appels.
Ainsi, la vérification de l'adresse IP correcte devrait fonctionner.
alternativement, vous pourriez faire usage de
gethostbyaddr
ougethostbyname
.OriginalL'auteur Jacco
C'est ce que j'utilise:
[.]
avantpaypal
devrait résoudre ce problème.Il ne serait pas correspondre en raison de l'
^
.Complètement à droite! mon mauvais 🙂
Peut facilement être usurpée. Voir developer.paypal.com/docs/classic/ipn/integration-guide/...
OriginalL'auteur Alix Axel