我有一个PayPal商业账户。我生成了一个API用户名、密码和签名,并从以前制作的一个网站复制了一些PHP代码,该网站将处理表单上的支付字段。
在之前制作的网站中,一切都运行良好,直到今天。但是,在这个新网站上,只要信用卡号是有效的,我就可以编一个名字,输入错误的过期日期,输入假卡安全码,编一个地址,付款仍然通过!我看到我的PayPal余额增加了,我也看到我的信用卡上的费用!我现在没有使用沙盒环境。
这怎么可能?此外,或许值得注意的是,这笔费用在我信用卡的待处理交易中显示为一些无关紧要的业务,"莎莉美容用品"。在我的代码中没有任何地方写过这些话!我试了美国运通卡和维萨卡。
这是我的代码。所有都是从以前制作的网站复制的,除了<REPLACED>
注明的地方。代码已经简化了一点。
$paypal = array(
'version' => '85.0',
'endpoint' => 'https://api-3t.paypal.com/nvp',
'username' => '<REPLACED>',
'password' => '<REPLACED>',
'signature' => '<REPLACED>',
);
$request_params = array
(
'METHOD' => 'DoDirectPayment',
'USER' => $paypal['username'],
'PWD' => $paypal['password'],
'SIGNATURE' => $paypal['signature'],
'VERSION' => $paypal['version'],
'PAYMENTACTION' => 'Sale',
'IPADDRESS' => $_SERVER['REMOTE_ADDR'],
'ACCT' => $_POST['form_PaymentCardNumber'],
'EXPDATE' => $_POST['form_PaymentCardExpiryMonth'].$_POST['form_PaymentCardExpiryYear'],
'CVV2' => $_POST['form_PaymentCardCVV2'],
'FIRSTNAME' => $_POST['form_PaymentFirstName'],
'LASTNAME' => $_POST['form_PaymentLastName'],
'STREET' => $_POST['form_PaymentAddressLine1'],
'STREET2' => $_POST['form_PaymentAddressLine2'],
'CITY' => $_POST['form_PaymentCity'],
'STATE' => $_POST['form_PaymentStateProvince'],
'COUNTRYCODE' => $_POST['form_PaymentCountry'],
'ZIP' => $_POST['form_PaymentZipPostalCode'],
'AMT' => $_POST['form_PaymentAmount'],
'CURRENCYCODE' => 'USD',
'DESC' => "<REPLACED>"
);
$nvp_string = '';
foreach($request_params as $var=>$val)
{
$nvp_string .= '&'.$var.'='.urlencode($val);
}
$curl = curl_init();
curl_setopt($curl, CURLOPT_VERBOSE, 1);
curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($curl, CURLOPT_TIMEOUT, 30);
curl_setopt($curl, CURLOPT_URL, $paypal['endpoint']);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_POSTFIELDS, $nvp_string);
$result = curl_exec($curl);
curl_close($curl);
function NVPToArray($str)
{
$proArray = array();
while(strlen($str))
{
// name
$keypos= strpos($str,'=');
$keyval = substr($str,0,$keypos);
// value
$valuepos = strpos($str,'&') ? strpos($str,'&'): strlen($str);
$valval = substr($str,$keypos+1,$valuepos-$keypos-1);
// decoding the respose
$proArray[$keyval] = urldecode($valval);
$str = substr($str,$valuepos+1,strlen($str));
}
return $proArray;
}
$result = NVPToArray($result);
$paid = false;
if (strtoupper($result['ACK']) === 'SUCCESS' ||
strtoupper($result['ACK']) === 'SUCCESSWITHWARNING')
{
$paid = true;
}
我不应该复制'version' => '85.0'
和/或'endpoint' => 'https://api-3t.paypal.com/nvp'
吗?或者,它是什么?
如果您正在使用相同类型的支付服务,那么这应该是您需要做的所有事情。至于付款信息不正确,这是可能发生的。首先,没有检查所提供的名称。唯一的检查是CSC和AVS检查。所以不管你是否输入了错误的名称或截止日期,付款仍然可以进行。例如,exp日期被传递给处理器,然后传递给发卡银行。所以他们可能会也可能不会查看exp日期,因为没有真正的检查来确保它是匹配的。我曾见过一些卡被批准,而另一些被拒绝。
对于AVS和CSC检查,请记住网关将它们发送给处理器,处理器再将它们发送给发卡银行。然后将响应发送回处理器>网关>商家网站。同样,银行将批准这些交易,如果匹配或不匹配,他们只需发回。然后由您根据响应来拒绝事务。银行拒绝他们的唯一方式是,如果持卡人有一段时间的安全检查设置在他们的账户上,说明AVS和CSC必须匹配。当你收到不匹配的回复时,你可以在你的系统中编码逻辑来拒绝/信用/取消这些交易,或者你可以在你的PayPal或Payflow账户上添加并设置过滤器来自动为你做这件事。