1,网上支付方式两类:企业与银行对接和通过中间公司间接与银行对接。
(1),企业与银行对接,优点:因为直接与银行进行财务结算,交易资金结算比较安全。适合资金流量比较大的企业,这种方案适合于,每月结算金额百万以上的企业。缺点:开发工作量比较大,而且银行不定期升级系统,随着银行系统的升级,企业也需要作相应改动,所以维护工作量比较大,而且企业每年需要向银行交纳一定数量的接口使用费。
(2),通过中间公司间接与银行对接,优点:开发工作量少,因为使用的是中间企业提供的接入规范,所以银行升级系统不需要企业作相应修改,除非中间企业的接入规范发生改变,企业才做修改,相对于前一种,这种方案的维护工作量比较少,因为只与一家企业对接,所以接入费用相对比较低,这种方案适合于:每月结算金额在几十万以下的中小企业。缺点:因为是与中间企业进行资金结算,目前所有中间企业都是私企,资金安全是个大问题。
2,易宝和支付宝不同的
买家通过易宝直接把钱转账给卖家的银行账号;
买家把钱打给支付宝,在确认卖家发货后,支付宝再把钱转到卖家的银行账号;
3,易宝支付协议介绍
(1) 支付请求时HTTPS协议请求(https协议是http协议的安全版本),商户以GET或POST方式发送到易宝支付。
(2) 易宝支付平台统一使用GBK/GB2312编码方式。
(3) 参数名称和参数说明中规定的固定值必须与列表中完全一致(大小写敏感)。
4,学习下php通过易宝支付过程,其流程如下:
(1)使用测试账号作为易宝的商家,假设测试账号是”卖家1“。最好下载一个易宝支付产品接口文档。
$p1_MerId = "10001126856"; $merchantKey = "69cl522AV6q613Ii4W6u8K6XuW8vM1N6bFgyv769220IuYe9u37N4y7rI4Pl";
(2)程序框架如下图所示:
(3)代码页内容
① pay.php购买页面,其中“pd_FrpId”表示支付通道列表,需要去易宝帮助文档的“支付通道编码列表”查看每个银行的相应代码。
<html> <body> <form method="post" action="payConfirm.php"> 订单号:<input type="text" name="p2_Order" /><br/> 支付金额:<input type="text" name="p3_Amt" /><br/> 请选择支付银行:<br/> <input type="radio" name="pd_FrpId" value="CMBCHINA-NET" />招商银行<br/> <input type="radio" name="pd_FrpId" value="ICBC-NET" />工商银行<br/> <input type="radio" name="pd_FrpId" value="ABC-NET" />农业银行<br/> <input type="radio" name="pd_FrpId" value="CCB-NET" />建设银行<br/> <input type="radio" name="pd_FrpId" value="GDB-NET" />广发银行<br/> <input type="submit" value="确认支付" /> </form> </body> </html>
② payConfirm.php,支付确认页面,此页面需要根据易宝文档中”支付请求参数“部分,将各参数赋值,同时请求页面是“https://www.yeepay.com/app-merchant-proxy/node”。
<?php require_once "common.php"; $p0_Cmd ="Buy"; $p1_MerId = "10001126856"; $p2_Order = $_POST['p2_Order']; $p3_Amt = $_POST['p3_Amt']; $p4_Cur = "CNY"; $p5_Pid = ""; //商品名称 $p6_Pcat = ""; //商品种类 $p7_Pdesc = ""; //商品描述 $p8_Url = "http://www.lhycentos.com:2080/myNetpayment/res.php"; //支付成功页面 $p9_SAF = "0"; //送货地址 $pa_MP = ""; //商品扩展信息 $pr_NeedResponse = "1"; //商家是否返回易宝成功信息 $pd_FrpId = $_POST['pd_FrpId']; //各种银行卡支付通道 //把请求参数拼接 $data = $p0_Cmd.$p1_MerId.$p2_Order.$p3_Amt.$p4_Cur.$p5_Pid.$p6_Pcat.$p7_Pdesc.$p8_Url.$p9_SAF.$pa_MP.$pd_FrpId.$pr_NeedResponse; $merchantKey = "69cl522AV6q613Ii4W6u8K6XuW8vM1N6bFgyv769220IuYe9u37N4y7rI4Pl"; //hmac是签名单,是用于易宝和商家互相确认的关键字 //这里需要我们使用算法来生成(md5-hmac算法) $hmac = HmacMd5($data,$merchantKey); ?> <html> <body> 您的订单号是<?=$p2_Order ?>,订单金额是<?=$p3_Amt ?> <form method="post" action="https://www.yeepay.com/app-merchant-proxy/node"> <input type="hidden" name="p0_Cmd" value="<?=$p0_Cmd?>" /> <input type="hidden" name="p1_MerId" value="<?=$p1_MerId?>" /> <input type="hidden" name="p2_Order" value="<?=$p2_Order?>" /> <input type="hidden" name="p3_Amt" value="<?=$p3_Amt?>" /> <input type="hidden" name="p4_Cur" value="<?=$p4_Cur?>" /> <input type="hidden" name="p5_Pid" value="<?=$p5_Pid?>" /> <input type="hidden" name="p6_Pcat" value="<?=$p6_Pcat?>" /> <input type="hidden" name="p7_Pdesc" value="<?=$p7_Pdesc?>" /> <input type="hidden" name="p8_Url" value="<?=$p8_Url?>" /> <input type="hidden" name="p9_SAF" value="<?=$p9_SAF?>" /> <input type="hidden" name="pa_MP" value="<?=$pa_MP?>" /> <input type="hidden" name="pd_FrpId" value="<?=$pd_FrpId?>" /> <input type="hidden" name="pr_NeedResponse" value="<?=$pr_NeedResponse?>" /> <input type="hidden" name="hmac" value="<?=$hmac?>" /> <input type="submit" value="确认支付" /> </form> </body> </html>
③ payConfirm.php页面中使用到编码函数,此函数放在common.php中,common.php内容如下:
<?php function HmacMd5($data,$key){ $key = iconv("GB2312","UTF-8",$key); $data = iconv("GB2312","UTF-8",$data); $b = 64; if(strlen($key) > $b){ $key = pack("H*",md5($key)); } $key = str_pad($key,$b,chr(0x00)); $ipad = str_pad('',$b,chr(0x36)); $opad = str_pad('',$b,chr(0x5c)); $k_ipad = $key ^ $ipad; $k_opad = $key ^ $opad; return md5($k_opad . pack("H*",md5($k_ipad . $data))); } ?>
④ payConfirm.php将支付数据发送到“https://www.yeepay.com/app-merchant-proxy/node”后,进入支付页面,易宝从用户的网银中把钱转到“卖家1”的账户中,如果操作成功,返回到res.php页面,此页面是在payConfirm.php中$p8_Url = "http://www.lhycentos.com:2080/myNetpayment/res.php"; 指定的。
<?php echo "支付成功!": ?>
(4)现在实现了支付,但是存在一个漏洞,如果有黑客攻击,修改了支付页面,会将钱打到错误的人账号中。在res.php页面中根据收到的参数,重新编码和支付页面发送过来的参数进行比较,如果相同表示支付成功,如果不相同,表示支付失败。res.php的代码可以修改成如下方式:
<?php require_once "common.php"; $p1_MerId = "10001126856"; $r0_Cmd = $_REQUEST['r0_Cmd']; $r1_Code = $_REQUEST['r1_Code']; $r2_TrxId = $_REQUEST['r2_TrxId']; $r3_Amt = $_REQUEST['r3_Amt']; $r4_Cur = $_REQUEST['r4_Cur']; $r5_Pid = $_REQUEST['r5_Pid']; $r6_Order = $_REQUEST['r6_Order']; $r7_Uid = $_REQUEST['r7_Uid']; $r8_MP = $_REQUEST['r8_MP']; $r9_BType = $_REQUEST['r9_BType']; $hmac = $_REQUEST['hmac']; //把请求参数拼接 $res_src = $p1_MerId.$r0_Cmd.$r1_Code.$r2_TrxId.$r3_Amt.$r4_Cur.$r5_Pid.$r6_Order.$r7_Uid.$r8_MP.$r9_BType; $merchantKey = "69cl522AV6q613Ii4W6u8K6XuW8vM1N6bFgyv769220IuYe9u37N4y7rI4Pl"; //对返回的结果进行md5-hmac加密处理,和返回的hmac签名串比较 if(HmacMd5($res_src,$merchantKey) == $hmac){ if($r1_Code == 1){ //支付结果,1代表成功 if($r9_BType == 1){ echo "交易成功!"; echo "订单号为".$r6_Order."支付成功!所付金额是".$r3_Amt."易宝支付订单号是".$r2_TrxId."。"; echo "<br/>浏览器重定向"; }elseif($r9_BType == 1){ echo "success"; echo "<br/>交易成功!"; echo "<br/>服务器点对点通讯"; } } }else{ echo "签名被篡改"; } ?>
4,支付过程存在的问题, 有个页面执行sql语句,如果sql语句这样:update 数据表 set 字段+100,必须对sql的执行加限制条件。因为反复刷新页面,可以导致sql语句多次执行。比如:
if(数据表1的status = 0){ update 数据表1 set 字段+100; update 数据表2 set status=1; }