PHP网上支付

1，网上支付方式两类：企业与银行对接和通过中间公司间接与银行对接。

（1），企业与银行对接，优点：因为直接与银行进行财务结算，交易资金结算比较安全。适合资金流量比较大的企业，这种方案适合于，每月结算金额百万以上的企业。缺点：开发工作量比较大，而且银行不定期升级系统，随着银行系统的升级，企业也需要作相应改动，所以维护工作量比较大，而且企业每年需要向银行交纳一定数量的接口使用费。

（2），通过中间公司间接与银行对接，优点：开发工作量少，因为使用的是中间企业提供的接入规范，所以银行升级系统不需要企业作相应修改，除非中间企业的接入规范发生改变，企业才做修改，相对于前一种，这种方案的维护工作量比较少，因为只与一家企业对接，所以接入费用相对比较低，这种方案适合于:每月结算金额在几十万以下的中小企业。缺点：因为是与中间企业进行资金结算，目前所有中间企业都是私企，资金安全是个大问题。

2，易宝和支付宝不同的

买家通过易宝直接把钱转账给卖家的银行账号；

买家把钱打给支付宝，在确认卖家发货后，支付宝再把钱转到卖家的银行账号；

3，易宝支付协议介绍

（1）     支付请求时HTTPS协议请求（https协议是http协议的安全版本），商户以GET或POST方式发送到易宝支付。

（2）     易宝支付平台统一使用GBK/GB2312编码方式。

（3）    参数名称和参数说明中规定的固定值必须与列表中完全一致（大小写敏感）。

4，学习下php通过易宝支付过程，其流程如下：

（1）使用测试账号作为易宝的商家，假设测试账号是”卖家1“。最好下载一个易宝支付产品接口文档。

$p1_MerId = "10001126856";
$merchantKey = "69cl522AV6q613Ii4W6u8K6XuW8vM1N6bFgyv769220IuYe9u37N4y7rI4Pl";

（2）程序框架如下图所示：

（3）代码页内容

① pay.php购买页面，其中“pd_FrpId”表示支付通道列表，需要去易宝帮助文档的“支付通道编码列表”查看每个银行的相应代码。

<html>
<body>
    <form method="post" action="payConfirm.php">
        订单号：<input type="text" name="p2_Order" /><br/>
        支付金额：<input type="text" name="p3_Amt" /><br/>
        请选择支付银行：<br/>
        <input type="radio" name="pd_FrpId" value="CMBCHINA-NET" />招商银行<br/>
        <input type="radio" name="pd_FrpId" value="ICBC-NET" />工商银行<br/>
        <input type="radio" name="pd_FrpId" value="ABC-NET" />农业银行<br/>
        <input type="radio" name="pd_FrpId" value="CCB-NET" />建设银行<br/>
        <input type="radio" name="pd_FrpId" value="GDB-NET" />广发银行<br/>
        <input type="submit" value="确认支付" />
    </form>
</body>
</html>

② payConfirm.php，支付确认页面，此页面需要根据易宝文档中”支付请求参数“部分，将各参数赋值，同时请求页面是“https://www.yeepay.com/app-merchant-proxy/node”。

<?php
require_once "common.php";
$p0_Cmd ="Buy";
$p1_MerId = "10001126856";

$p2_Order = $_POST['p2_Order'];
$p3_Amt = $_POST['p3_Amt'];
$p4_Cur = "CNY";
$p5_Pid = "";  //商品名称
$p6_Pcat = ""; //商品种类
$p7_Pdesc = ""; //商品描述

$p8_Url = "http://www.lhycentos.com:2080/myNetpayment/res.php"; //支付成功页面
$p9_SAF = "0"; //送货地址
$pa_MP = ""; //商品扩展信息

$pr_NeedResponse = "1"; //商家是否返回易宝成功信息

$pd_FrpId = $_POST['pd_FrpId']; //各种银行卡支付通道

//把请求参数拼接
$data = $p0_Cmd.$p1_MerId.$p2_Order.$p3_Amt.$p4_Cur.$p5_Pid.$p6_Pcat.$p7_Pdesc.$p8_Url.$p9_SAF.$pa_MP.$pd_FrpId.$pr_NeedResponse;

$merchantKey = "69cl522AV6q613Ii4W6u8K6XuW8vM1N6bFgyv769220IuYe9u37N4y7rI4Pl";
//hmac是签名单，是用于易宝和商家互相确认的关键字
//这里需要我们使用算法来生成（md5-hmac算法）
$hmac = HmacMd5($data,$merchantKey);
?>

<html>
<body>
您的订单号是<?=$p2_Order ?>,订单金额是<?=$p3_Amt ?>
<form method="post" action="https://www.yeepay.com/app-merchant-proxy/node">
    <input type="hidden" name="p0_Cmd" value="<?=$p0_Cmd?>" />
    <input type="hidden" name="p1_MerId" value="<?=$p1_MerId?>" />
    <input type="hidden" name="p2_Order" value="<?=$p2_Order?>" />
    <input type="hidden" name="p3_Amt" value="<?=$p3_Amt?>" />
    <input type="hidden" name="p4_Cur" value="<?=$p4_Cur?>" />
    <input type="hidden" name="p5_Pid" value="<?=$p5_Pid?>" />
    <input type="hidden" name="p6_Pcat" value="<?=$p6_Pcat?>" />
    <input type="hidden" name="p7_Pdesc" value="<?=$p7_Pdesc?>" />
    <input type="hidden" name="p8_Url" value="<?=$p8_Url?>" />
    <input type="hidden" name="p9_SAF" value="<?=$p9_SAF?>" />
    <input type="hidden" name="pa_MP" value="<?=$pa_MP?>" />
    <input type="hidden" name="pd_FrpId" value="<?=$pd_FrpId?>" />
    <input type="hidden" name="pr_NeedResponse" value="<?=$pr_NeedResponse?>" />
    <input type="hidden" name="hmac" value="<?=$hmac?>" />
    <input type="submit" value="确认支付" />
</form>
</body>
</html>

③ payConfirm.php页面中使用到编码函数，此函数放在common.php中，common.php内容如下：

<?php

function HmacMd5($data,$key){

    $key = iconv("GB2312","UTF-8",$key);
    $data = iconv("GB2312","UTF-8",$data);
    $b = 64;
    if(strlen($key) > $b){
        $key = pack("H*",md5($key));
    }
    $key = str_pad($key,$b,chr(0x00));
    $ipad = str_pad('',$b,chr(0x36));
    $opad = str_pad('',$b,chr(0x5c));
    $k_ipad = $key ^ $ipad;
    $k_opad = $key ^ $opad;
    return md5($k_opad . pack("H*",md5($k_ipad . $data)));
}
?>

④ payConfirm.php将支付数据发送到“https://www.yeepay.com/app-merchant-proxy/node”后，进入支付页面，易宝从用户的网银中把钱转到“卖家1”的账户中，如果操作成功，返回到res.php页面，此页面是在payConfirm.php中$p8_Url = "http://www.lhycentos.com:2080/myNetpayment/res.php"; 指定的。

<?php
echo "支付成功！":
?>

（4）现在实现了支付，但是存在一个漏洞，如果有黑客攻击，修改了支付页面，会将钱打到错误的人账号中。在res.php页面中根据收到的参数，重新编码和支付页面发送过来的参数进行比较，如果相同表示支付成功，如果不相同，表示支付失败。res.php的代码可以修改成如下方式：

<?php
require_once "common.php";
$p1_MerId = "10001126856";

$r0_Cmd = $_REQUEST['r0_Cmd'];
$r1_Code = $_REQUEST['r1_Code'];
$r2_TrxId = $_REQUEST['r2_TrxId'];
$r3_Amt = $_REQUEST['r3_Amt'];
$r4_Cur = $_REQUEST['r4_Cur'];
$r5_Pid = $_REQUEST['r5_Pid'];
$r6_Order = $_REQUEST['r6_Order'];
$r7_Uid = $_REQUEST['r7_Uid'];
$r8_MP = $_REQUEST['r8_MP'];
$r9_BType = $_REQUEST['r9_BType'];
$hmac = $_REQUEST['hmac'];

//把请求参数拼接
$res_src = $p1_MerId.$r0_Cmd.$r1_Code.$r2_TrxId.$r3_Amt.$r4_Cur.$r5_Pid.$r6_Order.$r7_Uid.$r8_MP.$r9_BType;
$merchantKey = "69cl522AV6q613Ii4W6u8K6XuW8vM1N6bFgyv769220IuYe9u37N4y7rI4Pl";

//对返回的结果进行md5-hmac加密处理，和返回的hmac签名串比较
if(HmacMd5($res_src,$merchantKey) == $hmac){
    if($r1_Code == 1){  //支付结果，1代表成功
        if($r9_BType == 1){
            echo "交易成功！";
            echo "订单号为".$r6_Order."支付成功！所付金额是".$r3_Amt."易宝支付订单号是".$r2_TrxId."。";
            echo "<br/>浏览器重定向";
        }elseif($r9_BType == 1){
            echo "success";
            echo "<br/>交易成功！";
            echo "<br/>服务器点对点通讯";
        }
    }
}else{
    echo "签名被篡改";
}
?>

4，支付过程存在的问题， 有个页面执行sql语句，如果sql语句这样：update 数据表 set 字段+100，必须对sql的执行加限制条件。因为反复刷新页面，可以导致sql语句多次执行。比如：

if(数据表1的status = 0){

update 数据表1 set 字段+100;

update 数据表2 set status=1;

}