支付回调需严谨处理:先读取原始数据,解析为数组;再验证签名合法性,防止伪造请求;确认订单未处理且金额一致后更新状态;最后返回success避免重试。核心流程为接收数据→验证签名→校验订单→更新状态→响应结果。
在开发支付功能时,支付回调接口是确保订单状态准确更新的关键环节。当用户完成支付后,第三方支付平台(如微信支付、支付宝)会主动向你的服务器发送一条通知数据,这就是“回调”。你需要用PHP接收并处理这些数据,同时验证签名以确保请求来自合法渠道。
支付平台通常使用POST方式发送原始数据流(raw POST data),而不是标准的表单格式。因此不能直接使用$_POST获取,必须通过输入流读取。
示例代码:
$data = file_get_contents('php://input');
if (empty($data)) {
echo 'fail'; // 通知平台接收失败
exit;
}
// 将XML或JSON格式的数据转为数组
// 微信支付返回的是XML
$xml = simplexml_load_string($data, 'SimpleXMLElement', LIBXML_NOCDATA);
$dataArr = json_decode(json_encode($xml), true);
如果是支付宝等返回JSON,则可直接json_decode($data, true)。
立即学习“PHP免费学习笔记(深入)”;
所有回调都必须验证签名,避免恶意伪造请求篡改订单状态。
以微信支付为例:将接收到的参数按字段名升序排序,拼接成“key=value”的字符串,加上商户密钥(key),再进行MD5加密,与sign字段比对。
function generateSign($data, $apiKey) {
ksort($data);
$stringA = '';
foreach ($data as $k => $v) {
if ($k !== 'sign' && $v !== '' && !is_array($v)) {
$stringA .= $k . '=' . $v . '&';
}
}
$stringSignTemp = $stringA . 'key=' . $apiKey;
return strtoupper(md5($stringSignTemp));
}
<p>// 使用示例
$localSign = generateSign($dataArr, 'your_api_key_here');
if ($localSign !== $dataArr['sign']) {
echo 'fail';
exit; // 签名不匹配,拒绝处理
}</p>注意:不同平台签名规则不同,支付宝可能使用RSA,需用公钥验签。
支付宝验签示例:
$pubKey = file_get_contents('alipay_public_key.pem');
$res = openssl_get_publickey($pubKey);
$result = openssl_verify(
$data, // 原始数据(除去sign_type和sign)
base64_decode($_POST['sign']),
$res,
OPENSSL_ALGO_SHA256
);
if ($result !== 1) {
echo 'fail';
exit;
}
只有签名验证通过后,才可执行订单状态更新等操作。
关键点:
$orderNo = $dataArr['out_trade_no'];
$amount = $dataArr['total_fee'] / 100; // 微信金额单位为分
<p>// 查询本地订单
$stmt = $pdo->prepare("SELECT * FROM orders WHERE order_no = ? LIMIT 1");
$stmt->execute([$orderNo]);
$order = $stmt->fetch();</p><p>if (!$order || $order['status'] == 'paid') {
echo 'success'; // 已处理,告知平台无需重试
exit;
}</p><p>if (abs($order['amount'] - $amount) > 0.01) {
error_log("金额不符: {$orderNo}");
echo 'fail';
exit;
}</p><p>// 更新订单状态
$pdo->prepare("UPDATE orders SET status = 'paid', pay_time = NOW() WHERE order_no = ?")
->execute([$orderNo]);</p><p>// 可在此添加发货、通知等逻辑</p><p>echo 'success'; // 必须原样返回success,否则平台会重试</p>基本上就这些。核心是:正确接收数据 → 验证签名 → 安全校验 → 更新订单 → 返回success。只要每一步都严谨处理,就能安全稳定地应对支付回调。
以上就是如何用PHP调用支付回调接口处理数据_PHP支付回调接口数据处理与签名验证教程的详细内容,更多请关注php中文网其它相关文章!
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
广告
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
141
