1,网上支付方式两类:企业与银行对接和通过中间公司间接与银行对接。
(1),企业与银行对接,优点:因为直接与银行进行财务结算,交易资金结算比较安全。适合资金流量比较大的企业,这种方案适合于,每月结算金额百万以上的企业。缺点:开发工作量比较大,而且银行不定期升级系统,随着银行系统的升级,企业也需要作相应改动,所以维护工作量比较大,而且企业每年需要向银行交纳一定数量的接口使用费。
(2),通过中间公司间接与银行对接,优点:开发工作量少,因为使用的是中间企业提供的接入规范,所以银行升级系统不需要企业作相应修改,除非中间企业的接入规范发生改变,企业才做修改,相对于前一种,这种方案的维护工作量比较少,因为只与一家企业对接,所以接入费用相对比较低,这种方案适合于:每月结算金额在几十万以下的中小企业。缺点:因为是与中间企业进行资金结算,目前所有中间企业都是私企,资金安全是个大问题。
2,易宝和支付宝不同的
买家通过易宝直接把钱转账给卖家的银行账号;
买家把钱打给支付宝,在确认卖家发货后,支付宝再把钱转到卖家的银行账号;
3,易宝支付协议介绍
(1) 支付请求时HTTPS协议请求(https协议是http协议的安全版本),商户以GET或POST方式发送到易宝支付。
(2) 易宝支付平台统一使用GBK/GB2312编码方式。
(3) 参数名称和参数说明中规定的固定值必须与列表中完全一致(大小写敏感)。
4,学习下php通过易宝支付过程,其流程如下:
(1)使用测试账号作为易宝的商家,假设测试账号是”卖家1“。最好下载一个易宝支付产品接口文档。
$p1_MerId = "10001126856"; $merchantKey = "69cl522AV6q613Ii4W6u8K6XuW8vM1N6bFgyv769220IuYe9u37N4y7rI4Pl";
(2)程序框架如下图所示:
(3)代码页内容
① pay.php购买页面,其中“pd_FrpId”表示支付通道列表,需要去易宝帮助文档的“支付通道编码列表”查看每个银行的相应代码。
<html>
<body>
<form method="post" action="payConfirm.php">
订单号:<input type="text" name="p2_Order" /><br/>
支付金额:<input type="text" name="p3_Amt" /><br/>
请选择支付银行:<br/>
<input type="radio" name="pd_FrpId" value="CMBCHINA-NET" />招商银行<br/>
<input type="radio" name="pd_FrpId" value="ICBC-NET" />工商银行<br/>
<input type="radio" name="pd_FrpId" value="ABC-NET" />农业银行<br/>
<input type="radio" name="pd_FrpId" value="CCB-NET" />建设银行<br/>
<input type="radio" name="pd_FrpId" value="GDB-NET" />广发银行<br/>
<input type="submit" value="确认支付" />
</form>
</body>
</html>
② payConfirm.php,支付确认页面,此页面需要根据易宝文档中”支付请求参数“部分,将各参数赋值,同时请求页面是“https://www.yeepay.com/app-merchant-proxy/node”。
<?php
require_once "common.php";
$p0_Cmd ="Buy";
$p1_MerId = "10001126856";
$p2_Order = $_POST['p2_Order'];
$p3_Amt = $_POST['p3_Amt'];
$p4_Cur = "CNY";
$p5_Pid = ""; //商品名称
$p6_Pcat = ""; //商品种类
$p7_Pdesc = ""; //商品描述
$p8_Url = "http://www.lhycentos.com:2080/myNetpayment/res.php"; //支付成功页面
$p9_SAF = "0"; //送货地址
$pa_MP = ""; //商品扩展信息
$pr_NeedResponse = "1"; //商家是否返回易宝成功信息
$pd_FrpId = $_POST['pd_FrpId']; //各种银行卡支付通道
//把请求参数拼接
$data = $p0_Cmd.$p1_MerId.$p2_Order.$p3_Amt.$p4_Cur.$p5_Pid.$p6_Pcat.$p7_Pdesc.$p8_Url.$p9_SAF.$pa_MP.$pd_FrpId.$pr_NeedResponse;
$merchantKey = "69cl522AV6q613Ii4W6u8K6XuW8vM1N6bFgyv769220IuYe9u37N4y7rI4Pl";
//hmac是签名单,是用于易宝和商家互相确认的关键字
//这里需要我们使用算法来生成(md5-hmac算法)
$hmac = HmacMd5($data,$merchantKey);
?>
<html>
<body>
您的订单号是<?=$p2_Order ?>,订单金额是<?=$p3_Amt ?>
<form method="post" action="https://www.yeepay.com/app-merchant-proxy/node">
<input type="hidden" name="p0_Cmd" value="<?=$p0_Cmd?>" />
<input type="hidden" name="p1_MerId" value="<?=$p1_MerId?>" />
<input type="hidden" name="p2_Order" value="<?=$p2_Order?>" />
<input type="hidden" name="p3_Amt" value="<?=$p3_Amt?>" />
<input type="hidden" name="p4_Cur" value="<?=$p4_Cur?>" />
<input type="hidden" name="p5_Pid" value="<?=$p5_Pid?>" />
<input type="hidden" name="p6_Pcat" value="<?=$p6_Pcat?>" />
<input type="hidden" name="p7_Pdesc" value="<?=$p7_Pdesc?>" />
<input type="hidden" name="p8_Url" value="<?=$p8_Url?>" />
<input type="hidden" name="p9_SAF" value="<?=$p9_SAF?>" />
<input type="hidden" name="pa_MP" value="<?=$pa_MP?>" />
<input type="hidden" name="pd_FrpId" value="<?=$pd_FrpId?>" />
<input type="hidden" name="pr_NeedResponse" value="<?=$pr_NeedResponse?>" />
<input type="hidden" name="hmac" value="<?=$hmac?>" />
<input type="submit" value="确认支付" />
</form>
</body>
</html>
③ payConfirm.php页面中使用到编码函数,此函数放在common.php中,common.php内容如下:
<?php
function HmacMd5($data,$key){
$key = iconv("GB2312","UTF-8",$key);
$data = iconv("GB2312","UTF-8",$data);
$b = 64;
if(strlen($key) > $b){
$key = pack("H*",md5($key));
}
$key = str_pad($key,$b,chr(0x00));
$ipad = str_pad('',$b,chr(0x36));
$opad = str_pad('',$b,chr(0x5c));
$k_ipad = $key ^ $ipad;
$k_opad = $key ^ $opad;
return md5($k_opad . pack("H*",md5($k_ipad . $data)));
}
?>
④ payConfirm.php将支付数据发送到“https://www.yeepay.com/app-merchant-proxy/node”后,进入支付页面,易宝从用户的网银中把钱转到“卖家1”的账户中,如果操作成功,返回到res.php页面,此页面是在payConfirm.php中$p8_Url = "http://www.lhycentos.com:2080/myNetpayment/res.php"; 指定的。
<?php echo "支付成功!": ?>
(4)现在实现了支付,但是存在一个漏洞,如果有黑客攻击,修改了支付页面,会将钱打到错误的人账号中。在res.php页面中根据收到的参数,重新编码和支付页面发送过来的参数进行比较,如果相同表示支付成功,如果不相同,表示支付失败。res.php的代码可以修改成如下方式:
<?php
require_once "common.php";
$p1_MerId = "10001126856";
$r0_Cmd = $_REQUEST['r0_Cmd'];
$r1_Code = $_REQUEST['r1_Code'];
$r2_TrxId = $_REQUEST['r2_TrxId'];
$r3_Amt = $_REQUEST['r3_Amt'];
$r4_Cur = $_REQUEST['r4_Cur'];
$r5_Pid = $_REQUEST['r5_Pid'];
$r6_Order = $_REQUEST['r6_Order'];
$r7_Uid = $_REQUEST['r7_Uid'];
$r8_MP = $_REQUEST['r8_MP'];
$r9_BType = $_REQUEST['r9_BType'];
$hmac = $_REQUEST['hmac'];
//把请求参数拼接
$res_src = $p1_MerId.$r0_Cmd.$r1_Code.$r2_TrxId.$r3_Amt.$r4_Cur.$r5_Pid.$r6_Order.$r7_Uid.$r8_MP.$r9_BType;
$merchantKey = "69cl522AV6q613Ii4W6u8K6XuW8vM1N6bFgyv769220IuYe9u37N4y7rI4Pl";
//对返回的结果进行md5-hmac加密处理,和返回的hmac签名串比较
if(HmacMd5($res_src,$merchantKey) == $hmac){
if($r1_Code == 1){ //支付结果,1代表成功
if($r9_BType == 1){
echo "交易成功!";
echo "订单号为".$r6_Order."支付成功!所付金额是".$r3_Amt."易宝支付订单号是".$r2_TrxId."。";
echo "<br/>浏览器重定向";
}elseif($r9_BType == 1){
echo "success";
echo "<br/>交易成功!";
echo "<br/>服务器点对点通讯";
}
}
}else{
echo "签名被篡改";
}
?>
4,支付过程存在的问题, 有个页面执行sql语句,如果sql语句这样:update 数据表 set 字段+100,必须对sql的执行加限制条件。因为反复刷新页面,可以导致sql语句多次执行。比如:
if(数据表1的status = 0){
update 数据表1 set 字段+100;
update 数据表2 set status=1;
}