IPNコールがPayPalからのものであることを検証しますか？

Question

指定したnotifyURLへのPayPal IPN POST要求が実際にPayPalから送信されていることを確認するにはどうすればよいですか？

以前に送信したものとデータを比較することを意味するものではありませんが、このPayPalリクエストのサーバー/ IPアドレスが本当に有効なものであることを確認するにはどうすればよいですか？

Answer 1

IPNプロトコルは3つの のステップで構成されています

1. PayPalはあなたのIPNリスナーイベントを通知 メッセージを送信
2. あなたのリスナーがPayPalに戻って完全な 変更されていないメッセージを送信します。 メッセージは、同じ順序で同じフィールド が含まれている必要があり、元のメッセージ
3. PayPalは メッセージ がペイパル又は誤っているときで発信された場合のいずれかで確認され、バック単一ワードを送信するよう に同じ方法で符号化されます 私の記憶が正しければ は、もともと

https://cms.paypal.com/us/cgi-bin/?cmd=_render-content&content_ID=developer/e_howto_admin_IPNIntro

Answer 2

に送られたものとの矛盾、目がありますe PayPalは、IPNコールに静的IPを使用します。

したがって、正しいIPが存在するかどうかを確認する必要があります。

または、gethostbyaddrまたはgethostbynameを使用できます。

Answer 3

これはwhat I useです：

if (preg_match('~^(?:.+[.])?paypal[.]com$~', gethostbyaddr($_SERVER['REMOTE_ADDR'])) > 0) 
{ 
    // came from paypal.com (unless your server got r00ted) 
} 

Answer 4

は、これは私がPayPalが示唆あたりとしても、それを行うに発見した最も簡単な方法です。私はhttp_build_query（）を使用して、paypalからサイトに送信された投稿からURLを構築します。 Paypalのドキュメントには、これを検証のために送り返す必要があることが記載されています。これは、file_get_contentsで行うことです。あなたは

$verify_url = 'https://www.sandbox.paypal.com/cgi-bin/webscr?cmd=_notify-validate&' . http_build_query($_POST); 

if(!strstr(file_get_contents($verify_url), 'VERIFIED')) return false; 

Answer 5

https://gist.github.com/mrded/a596b0d005e84bc27bad

function paypal_is_transaction_valid($data) { 
    $context = stream_context_create(array(
    'http' => array(
     'header' => "Content-type: application/x-www-form-urlencoded\r\n", 
     'method' => 'POST', 
     'content' => http_build_query($data), 
    ), 
)); 
    $content = file_get_contents('https://www.sandbox.paypal.com/cgi-bin/webscr?cmd=_notify-validate', false, $context); 

    return (bool) strstr($content, 'VERIFIED'); 
} 

Answer 6

...私は単語「VERIFIED」が存在であり、我々はfalseを返していない場合ので、我々は、関数内で継続かどうかをチェックするためにはstrstrを使用することに注意しますHTTP header User-Agentは今必要です！ IPNポストが戻ってどこから来たのか検証するためにここに記載されている

$vrf = file_get_contents('https://www.paypal.com/cgi-bin/webscr?cmd=_notify-validate', false, stream_context_create(array(
    'http' => array(
     'header' => "Content-type: application/x-www-form-urlencoded\r\nUser-Agent: MyAPP 1.0\r\n", 
     'method' => 'POST', 
     'content' => http_build_query($_POST) 
    ) 
))); 

if ($vrf == 'VERIFIED') { 
    // Check that the payment_status is Completed 
    // Check that txn_id has not been previously processed 
    // Check that receiver_email is your Primary PayPal email 
    // Check that payment_amount/payment_currency are correct 
    // process payment 
}