Paypal IPN безопасности

Question

Я занимаюсь разработкой веб-сайта, который позволит пользователям совершать платежи через Paypal.

Paypal IPN, кажется, легко интегрируется, и он работает на моем локальном хосте.

Теперь проблема в том, что сумма и название компании передаются в PayPal с использованием данных POST.

Я знаю, что это очень опасно, но я не уверен, каковы альтернативы.

Как я могу обезопасить Paypal IPN?

Answer 1

Paypal имеет образец кода IPN на своем веб-сайте. По сути, вы должны проверить, что Paypal отправил вам уведомление (отправив обратно информацию, которую вы получили, с помощью cmd = notify_validate или что-то в этом роде ... это было давно, так как я использовал IPN), и проверить ваша база данных, чтобы удостовериться, что информация, которую они вам отправили, совпадает с информацией, которую вы намеревались передать ей в первую очередь. Особенно имя получателя и сумма платежа.

Если вы делаете эти проверки, у вас должно быть все в порядке, используете ли вы HTTPS или нет. Но если вы беспокоитесь о том, что какой-то злой сетевой администратор знает, что кто-то заплатил за товар, вы сможете настроить IPN для использования HTTPS.

Answer 2

Данные POST отправляются через безопасное соединение HTTPS, которое шифрует данные между отправителем и получателем. Именно так все конфиденциальные данные отправляются через Интернет. Если бы это действительно было опасно, то Paypal, и каждый уважаемый сайт, обрабатывающий конфиденциальную информацию, не использовал бы его.