使用Eway接受付款

Question

我打算使用eWay作爲支付網關，但在執行問題後遇到問題。

因爲我不想在任何時候觸摸信用卡詳細信息，而不是因爲PCI要求而通過我的網站進行存儲和傳輸，所以我需要將用戶重定向到由網關託管的頁面。用戶在那裏提供所有的細節，網關返回結果確認到我指定的頁面，我們稱之爲payment_done.php。

現在，在payment_done.php中，我不確定確認是否從支付網關本身返回，或者某人只是將其發佈到我的網頁及其假貨。所以我的網頁可能會收到確認，但付款可能完全沒有。

現在在payment_done.php中，我需要問一下，如果我收到的確認（帶有一些特定的交易ID）來自他們，如果是這樣的話，金額是正確的等Eway將返回真/假回到我然後我可以確定付款已經完成了適量。

現在的問題是，eway似乎允許查詢此確認一天只有100次。

我現在似乎用盡了想法，拼命尋求幫助。我還有什麼選擇？看起來令人難以置信的是，即使使用支付網關託管頁面，也無法使其工作，而不會陷入PCI合規性問題。預先感謝您的幫助。

Answer 1

答案是雙重的。

如果請求來自其他任何地方，則您確認該帖子來自eway服務器，但您不允許該請求。這是你的主要安全形式。

如果有人在易緯想要破解你的網站，實現這個：

發送用戶付款之前，創建長哈希值。你可以使用一個會話變量來保存這個。

使用參數eWAYoption1傳遞散列。

當eway發回答案時，請檢查eWAYoption1值以驗證它是否與當前用戶付款哈希匹配。

只要驗證它，您就必須刪除會話變量。即使散列錯誤，也會使會話變量無效並使其重新開始。

在哈希和驗證發佈IP地址之間，你應該是非常安全的。