------------------------------------------------------------------------------------

之所以发现这个坑,源起项目中的支付宝页面跳转同步通知页return_url中的$verify_result始终返回false。

$alipayNotify = new Alipaynotify($alipay_config); //支付宝通知处理类

$verify_result = $alipayNotify->verifyReturn();

verifyReturn函数用于针对return_url验证消息是否是支付宝发出的合法消息

其中生成签名结果一项,$isSign = $this->getSignVeryfy($_GET, $_GET['sign']);返回true或false

getSignVeryfy是获取返回时的签名验证结果,该函数做以下三件事(调用的均为支付宝公用函数):

1. 除去待签名参数数组中的空值和签名参数,paraFilter

2. 对签名参数数组排序,argSort

3. 把数组所有元素,按照‘参数=参数值’的模式用“&”字符拼接成字符串,createLinkstring

4. 如果是MD5加密,使用md5Verify验证签名,返回true或false

第1,2两步都没有问题,到第3步时,我们所期待的结果是这样子的:

而打印后返回的结果是这样的:

显然,这里转换出了问题,下面来看一下createLinkstring函数的具体实现

/**

 * 把数组所有元素,按照"参数=参数值"的模式用“&”字符拼接成字符串

 * @param $para 需要拼接的数组

 * return 拼接完成以后的字符串

 */

function createLinkstring($para) {

    $arg = '';

    while (list ($key, $val) = each ($para)) {

        $arg .= $key ."=".$val ."&";

    }

    //去掉最后一个&字符

    $arg = substr($arg, 0, count($arg)-2);

    //如果存在转义字符,那么去掉释义

    if(get_magic_quotes_gpc()) {

        $arg = stripslashes($arg);

    }

    return $arg;

}

上面连接字符串部分使用foreach实现都不影响$arg, substr使用rtrim实现也不影响$arg, get_agic_quotes_gpc在5.4以上才废弃,但是里面不存在转义字符;再看上面打印的结果,很有可能是 “&” 符号出了问题,程序部分将 “&” 符改为 “&” 后终于得到了期望的结果。

$arg .= $key ."=".$val ."&";

大家猜想一下,如果把上面的双引号改为单引号后,能不能得到期望的结果,如下(回复中解答):

$arg .= $key .'='.$val .'&';

另外,出现这种情况不排除PHP版本问题,大家试过之后不妨留言告诉我 你们的情况。

异步通知url和同步通知url中都不能有自定义参数,由于提交支付宝时的参数加密与跳转商家页面的验证加密机制是一致的,所以一旦url中含有自定义参数,导致提交前与提交后不相等,$verify_result将返回false,即无法通过验证;不通过这一步验证,商户的数据操作始终无法进行,如果就此忽略$verify_result必然存在安全问题。

对于mvc形式的动态url,需要去除提交时不需要的参数,保证干净,如:

  unset($_GET['controller']);

  unset($_GET['method']);

  $alipayNotify = new Alipaynotify($alipay_config);

  $verify_result = $alipayNotify->verifyReturn();

  if($verify_result) {

    //验证成功(商户逻辑代码)

  } else {

    //验证失败(调试请看Alipaynotify.php页面的verifyReturn函数)

  }

  

  同步url的参数保证了干净,同样别忘了提交时不要带有,如:

  unset($_GET['controller']);

  unset($_GET['method']);

  $this->load->library('Alipaysubmit');

  $alipay_config = $this->alipay_config;

  $alipaySubmit = new Alipaysubmit($alipay_config);

  ...

  

  为什么异步notify_url会失效?

  如果异步notify_url地址是mvc形式,因为你的控制器和方法已经被支付宝过滤掉,那么支付宝将找不到页面,所以无法通知到这个指定的地址。

Link:http://www.cnblogs.com/farwish/p/4309520.html

@黑眼诗人 <www.farwish.com>

[PHP]误读支付宝接口可能引发的乌龙的更多相关文章

  1. wap支付宝接口的问题

    今天在支付宝接口开发时,遇到的两个坑 第一个: https://doc.open.alipay.com/doc2/detail.htm?spm=a219a.7629140.0.0.8nHr4i& ...

  2. android开发支付宝接口开发流程(密钥篇)

    参考博客:http://blog.it985.com/12276.html 官方下载地址:http://download.alipay.com/public/api/base/WS_MOBILE_PA ...

  3. ThinkPHP实现支付宝接口功能

    最近做系统,需要实现在线支付功能,毫不犹豫,选择的是支付宝的接口支付功能.这里我用的是即时到帐的接口,具体实现的步骤如下:一.下载支付宝接口包下载地址:https://doc.open.alipay. ...

  4. (实用篇)php支付宝接口用法分析

    本文实例讲述了php支付宝接口用法.分享给大家供大家参考.具体分析如下: 现在流行的网站支持平台,支付宝当仁不让的老大了,现在我们就来告诉你如何使用支付宝api来做第三方支付,把支付宝放到自己网站来, ...

  5. 【转载】关于Alipay支付宝接口(Java版)

    转载自:http://blog.163.com/lai_chao/blog/static/70340789201412724619514/ 1.alipay 双功能支付简介 2.alipay 提交支付 ...

  6. PHP支付宝接口RSA验证

    这两天一直困扰的PHP RSA签名验证问题终于解决了,由于之前RSA接触的不多,再加上官方至今还未有PHP的SDK可供参考,因此走了一些弯路,写在这里和大家分享.    虽然支付宝官方还未提供相关SD ...

  7. android应用程序如何调用支付宝接口

    最近在做一个关于购物商城的项目,项目里面付款这块我选的是调用支付宝的接口,因为用的人比较多. 在网上搜索了以下,有很多这方面的教程,但大部分教程过于陈旧,而且描述的过于简单.而且支付宝提供的接口一直在 ...

  8. [转]支付宝接口程序、文档及解读(ASP.NET)

    本文转自:http://www.cnblogs.com/blodfox777/archive/2009/11/03/1595223.html 最近需要为网站加入支付宝的充值接口,而目前关于支付宝接口开 ...

  9. android应用程序如何调用支付宝接口(转)

    最近在做一个关于购物商城的项目,项目里面付款这块我选的是调用支付宝的接口,因为用的人比较多. 在网上搜索了以下,有很多这方面的教程,但大部分教程过于陈旧,而且描述的过于简单.而且支付宝提供的接口一直在 ...

随机推荐

  1. 虚拟机U盘挂载

    虚拟机中U盘挂载 一.连接U盘 虚拟机中    虚拟机→可移动设备→Syntek USB......(U盘的名称)→连接: 二.查看U盘的UUID “lsblk -f”: UUID为   35E6-9 ...

  2. Python 基于时间的进程通信

    import time from multiprocessing import Process,Event def f1(e): time.sleep(2) n = 100 print("子 ...

  3. 1.3 解决pip使用异常问题

    1.3 解决pip使用异常问题 1.3.1 pip出现异常有一小部分童鞋在打开cmd输入pip后出现下面情况:Didnot provide a command Did not provide a co ...

  4. SSM前言——相关设计模式

    1.使用代理对象,是为了在不修改目标对象的基础上,增强主业务逻辑.客户类真正的想要访问的对象是目标对象,但客户类真正可以访问的对象是代理对象. 2.静态代理是指,代理类在程序运行前就已经定义好,其与目 ...

  5. iOS 添加第三方字体

    有时候根据UI的设计,我们需要添加第三方字体到工程中,实现特殊的效果. 一,把第三方字体包导入工程 二,在info.plist文件中添加Fonts provided by application 类型 ...

  6. JAVA基础部分复习(七、JAVA枚举类型使用)

    /** * java中的枚举 * 枚举(enum),是指一个经过排序的.被打包成一个单一实体的项列表.一个枚举的实例可以使用枚举项列表中任意单一项的值. * 枚举在各个语言当中都有着广泛的应用,通常用 ...

  7. 小妖精的完美游戏教室——东方project,同人,自机

    //================================================================ //// Copyright (C)// All Rights R ...

  8. #考研笔记#计算机之word问题

    Word 问题:1. 如何为文档加密保存?单击 office 按钮\另存为\工具按钮\常规选项\设置打开文件时的密码 2. 怎样在横格稿纸中录入古诗?单击 office 按钮\新建\模板\信纸\稿纸( ...

  9. Python hashlib and hmac

    hashlib hashlib提供了常用的摘要算法:MD5, SHA1等等 摘要算法:也成哈希算法,散列算法.通过一个函数把任意长度的数据转换成一个长度固定的数据串.主要用在存储一些不能被修改和查看的 ...

  10. fork exec source的区别

    参考:http://www.cnblogs.com/bkygg/p/5023072.html 1:fork  运行的时候开一个sub_shell 执行调用的脚本,sub_shell执行的时候,pare ...