Valider l'IPN d'appel est de PayPal?

Comment puis-je valider que PayPal IPN requête POST à mon spécifié notifyURL est en effet en train de PayPal?

Je ne veux pas dire en comparant les données de ce que j'ai envoyé plus tôt, mais comment puis-je vérifier que le serveur /adresse IP de cette demande PayPal vient est en effet un valide?

Les méthodes présentées ici pour la validation d'où l'IPN post de retour est venu de ne pas infaillible, et ne pas vraiment vous faire beaucoup plus sûr que vous êtes déjà. Mettre en œuvre les meilleures pratiques recommandées par PayPal. Si ils étaient en insécurité, PayPal aurait des enjeux de taille, compte tenu de leur entière de la marque est construite sur la confiance des utilisateurs.

OriginalL'auteur siliconpi | 2011-01-31

  1. 14

    L'IPN protocole se compose de trois
    étapes:

    1. PayPal envoie votre IPN auditeur un
      message vous informe de l'événement
    2. Votre auditeur envoie le compléter
      inchangée message de PayPal;
      le message doit contenir les mêmes champs
      dans le même ordre et encodé dans
      de la même façon que le message d'origine
    3. PayPal envoie un seul mot, qui
      est soit VÉRIFIÉ si le message
      née avec PayPal ou non VALIDE si
      il n'y a aucune contradiction avec ce qui a été
      initialement envoyé

    https://cms.paypal.com/us/cgi-bin/?cmd=_render-content&content_ID=developer/e_howto_admin_IPNIntro

    merci, je suis au courant de cela et je suis en train de faire exactement... mais comment puis-je être doublement sûr que son PayPal qui appelle mon IPN auditeur? (l'étape 1 que vous avez copier-collé)?
    Est-il une raison pour laquelle vous avez besoin de l'être? Après tout, le but du processus en 3 étapes décrites ci-dessus est qu'il est impossible pour quelqu'un d'autre pour appeler votre IPN auditeur et toujours obtenir une vérification des interventions...
    Je ne suis pas à 100% familier avec man-in-the-middle attaques de type, mais je pense à une plus forte vérification que la demande est venue de la part de PayPal serait plus prudent...
    Plus ou moins sur le même sujet: stackoverflow.com/questions/2856530/paypal-ipn-security
    +1, les autres réponses sont juste au hasard bullcrap.

    OriginalL'auteur Amber

  2. 11

    C'est la façon la plus simple que j'ai trouvé pour le faire, aussi que par PayPal suggère. J'utilise http_build_query() pour construire l'url du post qui a été envoyé vers le site de paypal. Paypal docs, il vous faut envoyer ce retour à des fins de vérification et c'est ce que nous faisons avec file_get_contents. vous remarquerez que j'utilise strstr pour vérifier si le mot "VÉRIFIÉE" est présent et si nous continuons dans la fonction, sinon on retourne faux...

    $verify_url = 'https://www.sandbox.paypal.com/cgi-bin/webscr?cmd=_notify-validate&' . http_build_query( $_POST );   

if( !strstr( file_get_contents( $verify_url ), 'VERIFIED' ) ) return false;
    En fait, paypal vous dit que vous devriez POSTER le corps arrière: developer.paypal.com/webapps/developer/docs/classic/ipn/...
    L'en-tête HTTP User-Agent dès maintenant!

    OriginalL'auteur Lobos

  3. 3

    En-tête HTTP User-Agent dès maintenant!

    $vrf = file_get_contents('https://www.paypal.com/cgi-bin/webscr?cmd=_notify-validate', false, stream_context_create(array(
    'http' => array(
        'header'  => "Content-type: application/x-www-form-urlencoded\r\nUser-Agent: MyAPP 1.0\r\n",
        'method'  => 'POST',
        'content' => http_build_query($_POST)
    )
)));

if ( $vrf == 'VERIFIED' ) {
    //Check that the payment_status is Completed
    //Check that txn_id has not been previously processed
    //Check that receiver_email is your Primary PayPal email
    //Check that payment_amount/payment_currency are correct
    //process payment
}
    Super! cela a fonctionné pour moi
    Si je suis en essais avec le bac à sable, l'URL de l'être http://www.sandbox.paypal.com pour s'authentifier, ou http://www.paypal.com?

    OriginalL'auteur Sergey Shuchkin

  4. 2

    https://gist.github.com/mrded/a596b0d005e84bc27bad

    function paypal_is_transaction_valid($data) {
  $context = stream_context_create(array(
    'http' => array(
      'header'  => "Content-type: application/x-www-form-urlencoded\r\n",
      'method'  => 'POST',
      'content' => http_build_query($data),
    ),
  ));
  $content = file_get_contents('https://www.sandbox.paypal.com/cgi-bin/webscr?cmd=_notify-validate', false, $context);

  return (bool) strstr($content, 'VERIFIED');
}

    OriginalL'auteur mrded

  5. 1

    Si je me souviens bien, PayPal utilise une adresse IP statique pour la IPN appels.

    Ainsi, la vérification de l'adresse IP correcte devrait fonctionner.

    alternativement, vous pourriez faire usage de gethostbyaddr ou gethostbyname.

    +1 pour me rappeler qu'il pourrait être statique. ça fait des années que je n'ai aucune IPN de programmation.

    OriginalL'auteur Jacco

  6. -1

    C'est ce que j'utilise:

    if (preg_match('~^(?:.+[.])?paypal[.]com$~', gethostbyaddr($_SERVER['REMOTE_ADDR'])) > 0)
{
    //came from paypal.com (unless your server got r00ted)
}
    Que faire si j'ai acheté le domaine blablablarandomstuffpaypal.com? ne serait-il pas correspondre à cette expression? un [.] avant paypal devrait résoudre ce problème.
    Il ne serait pas correspondre en raison de l' ^.
    Complètement à droite! mon mauvais 🙂
    Peut facilement être usurpée. Voir developer.paypal.com/docs/classic/ipn/integration-guide/...

    OriginalL'auteur Alix Axel