如何在整合支付网关时避免金额篡改？

Question

我是集成支付网关在php。网关提供商告诉我，它包含高风险漏洞(即数量篡改)。我不是支付网关集成方面的专家。我怎样才能防止数量的篡改？

Answer 1

这里有一些你可以做的事情来防止数量的篡改.

1. 校验和或哈希摘要。如果支付网关已经实现了这一点。这仅仅意味着生成要发送到支付网关的有效负载的哈希，并与其一起发送哈希。网关还将生成哈希，并与发送给它的哈希进行比较。如果匹配，有效载荷未被篡改，它已被篡改，支付网关将删除事务。向您的支付网关询问这个问题。这是最推荐的方法。
2. 在将付款发送到支付网关进行处理之前，请将交易详细信息记录在数据库中。必须记录金额、事务引用和货币。当您从支付网关获得响应后，使用您的事务引用调用支付网关事务查询终结点，直接从支付网关确认事务，然后使用从支付网关获得的数据验证您记录的事务数量、事务引用和货币。如果有任何差异，记录事务以解决争议，否则用返回的事务状态更新您的事务记录。
3. 2只有在支付网关有事务查询端点时才能工作。如果您的支付网关没有事务查询端点，则当您获得事务响应时，只需使用从支付网关获得的数据来验证您记录的事务数量、事务引用和货币。如果有任何差异，记录事务以解决争议，否则用返回的事务状态更新您的事务记录。(我建议不要使用没有端点的支付网关来查询您的事务)

我建议使用1和2(如果可以的话)。