Не думаю, что в вашем коде есть проблема с безопасностью.Ваш код выглядит так, как будто он основан на официальных примерах PayPal.Последовательность такова:
- PayPal связывается с адресом, который вы настраиваете
- Вы получаете сообщение
- Вы отправляете сообщение в PayPal
- Они подтверждаютчто они действительно отправили сообщение
- Если PayPal не подтверждает, вы отклоняете сообщение
Если вы хотите сделать его еще более безопасным, добавьтемаркер безопасности (например, случайное зашифрованное значение) как часть пользовательских параметров, которые передаются в PayPal как часть начальной транзакции.Эти параметры будут повторно отправлены обработчику IPN в параметре строки запроса с именем custom.Затем вы можете проверить, что запрос соответствовал предполагаемому жизненному циклу.
Пример
В случае неправильного прочтения вашего кода я публикую версию .Net, которую я перенес прямо из PayPal SDK,Логика довольно проста для подражания.
byte[] inputBytes = Request.BinaryRead( HttpContext.Current.Request.ContentLength );
string incomingParams = Encoding.ASCII.GetString( inputBytes );
string outgoingParams = incomingParams + "&cmd=_notify-validate";
//
// Create request to send back to PayPal
HttpWebRequest request = (HttpWebRequest)WebRequest.Create( AppSettings.PayPalUrl );
request.Method = "POST";
request.ContentType = "application/x-www-form-urlencoded";
request.ContentLength = outgoingParams.Length;
//
// send the request back to PayPal
StreamWriter streamOut = new StreamWriter( request.GetRequestStream(), System.Text.Encoding.ASCII );
streamOut.Write( outgoingParams );
streamOut.Close();
//
// receive a response from PayPal
StreamReader streamIn = new StreamReader( request.GetResponse().GetResponseStream() );
string verificationStatus = streamIn.ReadToEnd();
streamIn.Close();
if( verificationStatus == "VERIFIED" )
{
// if the request/response relationship is valid, we can now
// use the initial parameters received from PayPal.
}
else if( verificationStatus == "INVALID" )
{
//log for manual investigation
}
else
{
//log response/ipn data for manual investigation
}