Paypal的支付安全性

Question

我想使用Paypal服务，我在测试过程中使用沙盒，但令人困惑的问题是，当用户从我的网站购买产品，后来被Paypal重定向到我的‘成功’页面，我收到了'Querystring‘的数据，只有从那里我才能读取数据。我认为这是错误的，因为'Querystring‘可以很容易地改变和修改。我想知道我如何才能确定我收到的'Querystring‘属于通过购买请求付款的用户。

        string redirecturl = "";
        redirecturl += "https://www.sandbox.paypal.com/cgi-bin/webscr?cmd=_xclick&business=" + ConfigurationManager.AppSettings["paypalemail"].ToString();            
        redirecturl += "&first_name=erfanpj";
        redirecturl += "&city=stockholms";
        redirecturl += "&state=stockholms";
        redirecturl += "&item_name=" + l1.Text;
        redirecturl += "&amount=" + l3.Text;           
      //redirecturl += "&business=erfanpj@ymail.com";
        redirecturl += "&shipping=5";
        redirecturl += "&handling=5";
        redirecturl += "&tax=5";
        redirecturl += "&quantity=1";
        redirecturl += "&currency=USD";
        redirecturl += "&return=" + ConfigurationManager.AppSettings["SuccessURL"].ToString();
                 redirecturl += "&cancel_return=" + ConfigurationManager.AppSettings["FailedURL"].ToString();
        Response.Redirect(redirecturl);
    }

此外，我非常想知道'notify_url‘和'paypal-ipn’参数到底做了什么。来自尊敬的读者的任何反馈都将受到高度赞赏。

致以敬意，

Answer 1

从你的问题看，我不确定你是否对PayPal的购买流程有很好的了解。

首先，您应该使用PayPal生成的按钮(在您的PayPal帐户中生成)，这些按钮是加密的，可以防止用户更改购买页面上的参数。

其次，在一次交易中，SSL将发布(通过PayPal )到您指定的you服务器上的页面。在这里您可以提取购买的详细信息。(C# example on PayPal IPN handler)在完成订单之前，您应确保回复为VERIFIED，确认收件人的电子邮件地址是您的电子邮件地址，并且交易金额正确。(有关更多代码示例，请访问PayPal Code Samples。)