------------------------------------------------------------------------------------

之所以发现这个坑,源起项目中的支付宝页面跳转同步通知页return_url中的$verify_result始终返回false。

$alipayNotify = new Alipaynotify($alipay_config); //支付宝通知处理类

$verify_result = $alipayNotify->verifyReturn();

verifyReturn函数用于针对return_url验证消息是否是支付宝发出的合法消息

其中生成签名结果一项,$isSign = $this->getSignVeryfy($_GET, $_GET['sign']);返回true或false

getSignVeryfy是获取返回时的签名验证结果,该函数做以下三件事(调用的均为支付宝公用函数):

1. 除去待签名参数数组中的空值和签名参数,paraFilter

2. 对签名参数数组排序,argSort

3. 把数组所有元素,按照‘参数=参数值’的模式用“&”字符拼接成字符串,createLinkstring

4. 如果是MD5加密,使用md5Verify验证签名,返回true或false

第1,2两步都没有问题,到第3步时,我们所期待的结果是这样子的:

而打印后返回的结果是这样的:

显然,这里转换出了问题,下面来看一下createLinkstring函数的具体实现

/**

 * 把数组所有元素,按照"参数=参数值"的模式用“&”字符拼接成字符串

 * @param $para 需要拼接的数组

 * return 拼接完成以后的字符串

 */

function createLinkstring($para) {

    $arg = '';

    while (list ($key, $val) = each ($para)) {

        $arg .= $key ."=".$val ."&";

    }

    //去掉最后一个&字符

    $arg = substr($arg, 0, count($arg)-2);

    //如果存在转义字符,那么去掉释义

    if(get_magic_quotes_gpc()) {

        $arg = stripslashes($arg);

    }

    return $arg;

}

上面连接字符串部分使用foreach实现都不影响$arg, substr使用rtrim实现也不影响$arg, get_agic_quotes_gpc在5.4以上才废弃,但是里面不存在转义字符;再看上面打印的结果,很有可能是 “&” 符号出了问题,程序部分将 “&” 符改为 “&” 后终于得到了期望的结果。

$arg .= $key ."=".$val ."&";

大家猜想一下,如果把上面的双引号改为单引号后,能不能得到期望的结果,如下(回复中解答):

$arg .= $key .'='.$val .'&';

另外,出现这种情况不排除PHP版本问题,大家试过之后不妨留言告诉我 你们的情况。

异步通知url和同步通知url中都不能有自定义参数,由于提交支付宝时的参数加密与跳转商家页面的验证加密机制是一致的,所以一旦url中含有自定义参数,导致提交前与提交后不相等,$verify_result将返回false,即无法通过验证;不通过这一步验证,商户的数据操作始终无法进行,如果就此忽略$verify_result必然存在安全问题。

对于mvc形式的动态url,需要去除提交时不需要的参数,保证干净,如:

  unset($_GET['controller']);

  unset($_GET['method']);

  $alipayNotify = new Alipaynotify($alipay_config);

  $verify_result = $alipayNotify->verifyReturn();

  if($verify_result) {

    //验证成功(商户逻辑代码)

  } else {

    //验证失败(调试请看Alipaynotify.php页面的verifyReturn函数)

  }

  

  同步url的参数保证了干净,同样别忘了提交时不要带有,如:

  unset($_GET['controller']);

  unset($_GET['method']);

  $this->load->library('Alipaysubmit');

  $alipay_config = $this->alipay_config;

  $alipaySubmit = new Alipaysubmit($alipay_config);

  ...

  

  为什么异步notify_url会失效?

  如果异步notify_url地址是mvc形式,因为你的控制器和方法已经被支付宝过滤掉,那么支付宝将找不到页面,所以无法通知到这个指定的地址。

Link:http://www.cnblogs.com/farwish/p/4309520.html

@黑眼诗人 <www.farwish.com>

[PHP]误读支付宝接口可能引发的乌龙的更多相关文章

  1. wap支付宝接口的问题

    今天在支付宝接口开发时,遇到的两个坑 第一个: https://doc.open.alipay.com/doc2/detail.htm?spm=a219a.7629140.0.0.8nHr4i& ...

  2. android开发支付宝接口开发流程(密钥篇)

    参考博客:http://blog.it985.com/12276.html 官方下载地址:http://download.alipay.com/public/api/base/WS_MOBILE_PA ...

  3. ThinkPHP实现支付宝接口功能

    最近做系统,需要实现在线支付功能,毫不犹豫,选择的是支付宝的接口支付功能.这里我用的是即时到帐的接口,具体实现的步骤如下:一.下载支付宝接口包下载地址:https://doc.open.alipay. ...

  4. (实用篇)php支付宝接口用法分析

    本文实例讲述了php支付宝接口用法.分享给大家供大家参考.具体分析如下: 现在流行的网站支持平台,支付宝当仁不让的老大了,现在我们就来告诉你如何使用支付宝api来做第三方支付,把支付宝放到自己网站来, ...

  5. 【转载】关于Alipay支付宝接口(Java版)

    转载自:http://blog.163.com/lai_chao/blog/static/70340789201412724619514/ 1.alipay 双功能支付简介 2.alipay 提交支付 ...

  6. PHP支付宝接口RSA验证

    这两天一直困扰的PHP RSA签名验证问题终于解决了,由于之前RSA接触的不多,再加上官方至今还未有PHP的SDK可供参考,因此走了一些弯路,写在这里和大家分享.    虽然支付宝官方还未提供相关SD ...

  7. android应用程序如何调用支付宝接口

    最近在做一个关于购物商城的项目,项目里面付款这块我选的是调用支付宝的接口,因为用的人比较多. 在网上搜索了以下,有很多这方面的教程,但大部分教程过于陈旧,而且描述的过于简单.而且支付宝提供的接口一直在 ...

  8. [转]支付宝接口程序、文档及解读(ASP.NET)

    本文转自:http://www.cnblogs.com/blodfox777/archive/2009/11/03/1595223.html 最近需要为网站加入支付宝的充值接口,而目前关于支付宝接口开 ...

  9. android应用程序如何调用支付宝接口(转)

    最近在做一个关于购物商城的项目,项目里面付款这块我选的是调用支付宝的接口,因为用的人比较多. 在网上搜索了以下,有很多这方面的教程,但大部分教程过于陈旧,而且描述的过于简单.而且支付宝提供的接口一直在 ...

随机推荐

  1. 蓝牙协议分析(4)_IPv6 Over BLE介绍

    1. 前言 蓝牙是个奇葩的家伙:它总是以后来者的身份出现,很喜欢打仗,而且还不落下风(有点像某讯的风格).90年代末期和Wi-Fi的无线标准之争如此,当前和802.15.4系(ZigBee.RF4CE ...

  2. JAVA高级篇(一、JVM基本概念)

    一.什么是JVM VM的中文名称叫Java虚拟机,它是由软件技术模拟出计算机运行的一个虚拟的计算机. JVM也充当着一个翻译官的角色,我们编写出的Java程序,是不能够被操作系统所直接识别的,这时候J ...

  3. MarkDown学习——基础用法

    目录 MarkDown开发版本MD2All基础用法 此处有代码<a id="top"></a>作为页内锚点 此处是用自动生成的目录 MarkDown是什么M ...

  4. SG函数 2019- 杭师范校赛

    #include<bits/stdc++.h> using namespace std; ; int sg[maxn]; int f[maxn]; int s[maxn]; void ma ...

  5. springMVC---业务处理流程图和最简单的springMvc搭建截图说明

    一.springMVC业务处理流程图: 二.如何搭建springMvc框架 1.建立web工程 2.引入jar包 3.创建web.xml文件 4.创建springMvc-servlet.xml文件 5 ...

  6. Google - Find Most People in Chat Log

    1. 给你一个chatting log file,format大概是这样的: A: bla B: bla bla C: bla bla bla 要你找出说话最多(看word number) 的K个人 ...

  7. sedsed 一个更好理解sed执行过程的工具

    官网:http://aurelio.net/projects/sedsed/    这个上面好多学习的资料 嘿嘿 留着慢慢看 昨晚在看sed的具体执行过程,看到有hold space,pattern ...

  8. 对数据进行GZIP压缩或解压缩

    /** * 对data进行GZIP解压缩 * @param data * @return * @throws Exception */ public static String unCompress( ...

  9. centos7启动过程及systemd详细说明

    开机启过程 POST->BOOT SEQUENCE-> BOOTLOADER->KERNEL + INITRAMFS(INITRD)->ROOTFS->/sbin/ini ...

  10. maya中MFnMesh.h使用说明的翻译

    由于最近要修改一个maya中的deformer脚本,于是开始系统学习openMaya的一些知识,当然少不了得把一堆头文件说明看一遍.首先把MFnMesh.h这个文件翻译一下吧,不废话,上译文: 首先M ...