保护接收PayPal IPN通知的PHP脚本

您可以安全地将对IPN脚本的访问限制为以下IP地址列表：

216.113.188.202
216.113.188.203
216.113.188.204
66.211.170.66

这可以通过以下方式完成：

if (!in_array($_SERVER['REMOTE_ADDR'],array('216.113.188.202','216.113.188.203','216.113.188.204','66.211.170.66')) {
header("HTTP/1.0 404 Not Found");
exit();
}

只有Paypal才能访问IPN脚本，这样做可以保证安全。

这个IP地址列表多年来一直比较稳定。如果Paypal添加了新的地址，您可以通过电子邮件进行报告，并手动审查此类情况。

你为什么要这样做呢？

在IPN系统中，你首先需要使用cURL或fshock等工具将传递到你的ipn脚本的变量反弹回paypal...通过检查响应，你可以确定它是否是有效的交易...某人无法伪造一个在paypal本身不存在的交易变量...他们所能做的就是重新使用旧的交易信息来欺骗你的脚本...由于它存在于paypal上，你的脚本会认为它是一笔成功的付款...

因此，你可以通过将txn_id与你的数据库进行比较来防止这种情况，如果已经存在于你的数据库中，这意味着有人正在尝试使用已记录的交易信息来欺骗你...

既然你进行了这些检查，谁还关心调用这个ipn脚本的人呢...对他们来说，它不起作用，因为你检查变量是否与paypal和你的数据库匹配...

在任何异常情况下，打印出一个好的句子告诉他们“这个脚本很强大！别想愚弄我们！”

有很多事情你可以做:

1. 给你的脚本起一个不容易被猜出来的名字。
2. 禁用文件夹中的目录列表。
3. 检查调用网站是否为paypal.com（或相关的IP地址等）。

如果您知道PayPal将使用脚本的IP，请尝试以下操作：

order deny, allow
deny from all
allow from [Paypal-IP]

查看上线清单：

https://cms.paypal.com/us/cgi-bin/?cmd=_render-content&content_ID=developer/howto_api_golivechecklist

开发者首页 > 如何 > API > 上线清单
要允许的 IP 地址列表。

我不建议屏蔽所有IP，因为您不能确定Paypal的请求是否始终来自同一IP。如果他们决定更改其IP范围，则您的设置将会中断，可能没有通知您。
我认为处理Paypal请求的脚本是处理此问题的地方-在该脚本中，您需要确保请求实际来自Paypal。您可以通过使用某些不容易猜测的URL来完成此操作。
如果可能的话，请查看IPN的共享密钥设置-这样您就有了更好的检查请求是否真正来自Paypal的方法，尽管设置有点困难。
希望这可以帮到您！

现在我已经这样做了：

在存储 PHP 脚本和 2 个配置文件的文件夹中，我创建了另一个文件夹，将这两个配置文件移动到其中，并放置了一个 .htaccess 文件，其中包含以下代码：

order allow,deny
deny from all

现在两个配置文件都有很好的保护！...但是接收通知的脚本没有！如果我尝试使用以下方式阻止目录列表（对于包含php脚本和config文件夹的文件夹）：

IndexIgnore *

Paypal沙盒给我返回了500错误！

所以，为了保护脚本，我唯一能做的就是在脚本头部放置一个条件来验证通知是否来自paypal.com？

最后，我在php脚本头部添加了一个基于远程主机名的if语句：

 $remote_host = gethostbyaddr($_SERVER['REMOTE_ADDR']);

如果有人感兴趣，也可以查询$_SERVER['REMOTE_HOST']，但必须在服务器上配置httpd.conf文件。