我正在开发一个使用paypal信用卡付款的应用程序。 我从paypal的开发者页面获得了一个php示例。此示例使用普通的html表单直接接受用户的信用卡详细信息。我想知道如何在这种支付系统中管理安全性。我相信,如果我们获得用户的信用卡详细信息,我们将来可以在未经用户许可的情况下进行付款。
我想我可能会错过一些有关paypal信用卡付款的要点。请指导我正确的信息。 提前致谢
答案 0 :(得分:2)
只要您无法复制表单中的输入,付款就是安全的。使用HTML表单意味着信用卡信息通过表单方法和操作通过HTTP传递给paypal。
如果您确保表单方法是" POST"并且动作协议是" HTTPS",用户浏览器将执行SSL握手和加密。
永远不要使用方法" GET"敏感数据。
<form method="POST" action="https://something.paypal.com/">
<input type="text" name="owner">
<input type="text" name="creditcardno">
<input type="text" name="expirationdate">
<input type="password" name="checksum">
</form>
请记住,这只是一个代码示例。它不会那样工作。只是想表明这样一个表格应该是什么样子。
答案 1 :(得分:1)
完全安全。
因为,您将url发送到paypal网关并进行付款处理,所有网址数据都将被加密。
答案 2 :(得分:1)
它和PayPal一样安全。
Paypal可让您访问其API。这意味着您必须遵循Paypal为您创建的精确规则。不这样做会导致请求失败。
我甚至认为他们会将您重定向到paypal.com,因此实际付款不会在您的服务器上完成。您唯一需要做的就是听取PayPal,如果他们收到付款并处理您的订单。
答案 3 :(得分:1)
我从paypal的开发者页面获得了一个php示例。此示例直接接受用户信用 使用普通html表单的卡片详细信息。我想知道如何在这种付款中管理安全性 系统。
一般来说,根本不是。您需要通过https发送表单,但即便如此,它也不会使数据可以被截获。这就是为什么Stripe和Brain Tree在提交之前使用JavaScript库来加密表单的原因(如果你的网页恰好通过第三方广告提供对某些恶意JS的访问权限,这甚至不是完全安全的;这些脚本可以在加密和提交之前也截取明文数据)。
我假设您将此表单发送到您自己的服务器。如果是这种情况,那么获得PCI合规性将更加困难,因为您必须证明您的服务器是防黑客的。借助Brain Tree Transparent Redirect和Stripe Checkout,信用卡信息甚至不会通过您的服务器,从而简化了PCI合规性。
条纹特别有趣。 Stripe使用JavaScript加密支付详细信息并将表单提交给自身(通过在无法命名的未命名表单字段上使用Stripe.js)。然后Stripe服务器将令牌注入您的原始表单。因此,您的脚本只能将令牌以及其他客户详细信息发布到您的服务器,而不是付款详细信息。
我相信,如果我们获得用户的信用卡详细信息,我们就可以付款 将来未经用户许可。
这不是它的工作原理。
捕获信用卡详细信息以向用户收取违反PayPal条款的费用可能会让您遇到大麻烦。您必须使用适当的API,这些API不允许您访问信用卡详细信息。这是PayPal作为PayPal的核心理念。
例如,使用授权&amp;捕获,您有28天的时间来捕获付款,您可以在此期间仅申请一次新的授权。这不适用于经常性付款。
您可以使用REST API甚至ExpressCheckOut设置订阅,但在用户不知情的情况下捕获用户的信用卡信息可能会导致您的PayPal帐户关闭或更糟。使用PayPal告诉您的适当的API用于您的用例,一切都会好的。
对于定期付款,Brain Tree提供在其安全保险库中捕获买家的信用卡信息,使您能够反复为卡充电,而无需担心信息的安全性。
我正在开发一个使用paypal信用卡付款的应用程序。
为什么不使用Brain Tree(自2013年底收购以来,它一直是PayPal的一部分)。它可以让你的生活更轻松。