1

eWayを支払いゲートウェイとして使用するつもりですが、実装する際に問題が次々と発生します。

PCI要件により、サイトを介して保存または転送せずに、クレジットカードの詳細に触れたくないので、ユーザーをゲートウェイがホストするページにリダイレクトする必要があります。ユーザーはそこにすべての詳細を入力し、ゲートウェイは指定したページに結果の確認を返します。これを payment_done.php と呼びましょう。

現在、 payment_done.php では、確認が支払いゲートウェイ自体から返されたのか、誰かが私のページに投稿しただけで偽物なのかはわかりません。そのため、私のページでは確認がとれるかもしれませんが、支払いがまったく行われない可能性があります。

今 payment_done.php で、私が受け取ったこの確認 (特定のトランザクション ID を含む) が彼らからのものであるかどうかを eway に尋ねる必要があります。適切な金額の支払いが行われました。

ここでの問題は、eway がこの確認のクエリを 1 日に 100 回しか許可していないように見えることです。

私は今、アイデアを使い果たしているようで、必死に助けを求めています. どのようなオプションが残っていますか? 支払いゲートウェイがホストするページを使用しても、PCI コンプライアンスの問題に陥らずに機能させる方法がないことは信じられないことです。助けてくれてありがとう。

4

1 に答える 1

0

答えは 2 つあります。

リクエストが他の場所から送信された場合、投稿が eway サーバーから送信されたことを確認し、リクエストを許可しません。これがセキュリティの主な形態です。

eway の誰かがあなたのサイトをハッキングしたい場合に備えて、これを実装してください:

支払いのためにユーザーを送信する前に、長いハッシュを作成します。これを保持するためにセッション変数を使用できます。

パラメータを使用してハッシュを渡しeWAYoption1ます。

eway が回答を返信したら、eWAYoption1値をチェックして、現在のユーザーの支払いハッシュと一致することを確認します。

セッション変数を検証したらすぐに削除する必要があります。ハッシュが間違っていても、セッション変数を無効にして最初からやり直します。

ハッシュと投稿 IP アドレスの確認の間は、かなり安全なはずです。

于 2010-07-27T21:08:51.853 に答える