Ставим форму на сайт и посетитель вводит сумму, можно ему помочь, вместо Введите сумму ввести первоначальную, например 10. Не забудьте вместо 4100137204859 ввести номер своего кошелька, хотя если забудете, я не обижусь. Также меняем http://scriptozna.ucoz.ru/ на адрес вашег сайта. Меняем Веб-студия на ваше описание платежа.
Выглядит вот так:
Ставим кнопку на сайт, вместо 10 ввести вашу сумму. Не забудьте вместо 4100137204859 ввести номер своего кошелька, хотя если забудете, я не обижусь. Также меняем http://scriptozna.ucoz.ru/ на адрес вашег сайта. Меняем Веб-студия на ваше описание платежа.
При создании коммерческих сайтов встает вопрос: как принимать
платежи? Одной из наиболее популярных в мире платежных систем является
PayPal . Выбор этой системы часто определяется высокой надежностью,
простотой открытия аккаунта и использования. Для открытия аккаунта
достаточно наличия кредитной карты и/или счета в американском банке.
Одним из основных недостатков часто называют очень жесткую политику
безопасности. Но практика показывает, что при строгом соблюдении правил
использования системы проблемы возникают редко. Я не собираюсь
описывать все "за" и "против". Цель этой статьи - показать, как
организовать обработку платежей для обеспечения надежности и
безопасности.
Сразу оговорюсь, что PayPal не открывает аккаунты жителям России
(как, впрочем, и других стран бывшего СССР), но, учитывая, что многие
российские программисты создают сайты для зарубежных заказчиков, тема
интеграции сайта с PayPal является актуальной.
Организация собственно оплаты не представляет тудностей. В этой статье я буду
уделять больше внимания процессу автоматической проверки платежа с
использованием IPN (Instant Payment Notification). Статья основана на
собственном опыте, официальной документации PayPal и материалах
независимого форума разработчиков PayPal.
Виды платежей
PayPal поддерживает несколько видов
платежей:
оплата товаров в корзине, предоставляемой
PayPal. В этом случае все операции по поддержке корзины берет на
себя PayPal
покупка товара "в один клик", без добавления товара в корзину. Этот метод также применяется для оплаты
товаров в корзине, сформированной без использования PayPal
периодические платежи, или подписка (recurring billing,
subscription)
В статье будут рассмотрены два последних метода. Также я не
рассматриваю метод, при котором корзина формируется на нашем сайте, а
затем все содержимое корзины передается PayPal.
Процесс оплаты
Процесс оплаты очень прост: создается POST-форма с
набором hidden полей, содержащих информацию о товаре (идентификатор,
наименование, цена), и кнопку отправки формы. Следует отметить, что все цены должны
передаваться с двумя знаками после точки. Если стоимость товара
$10, то цена должна передаваться как "10.00". После отправки
формы покупатель переходит на сайт paypal.com, где он завершает процесс оплаты.
Данные формы должны отправляться на https://www.paypal.com/cgi-bin/webscr.
Обязательный параметр. Должен иметь значение
"_xclick"
business
Обязательный параметр - e-mail
продавца
item_number
Идентификатор товара. Это значение не
будет показано пользователю, однако будет передано вашему скрипту
при подтверждении транзакции. Если вы используете PayPal для
оплаты товаров из корзины, в этом поле можно передавать
идентификатор корзины
item_name
Наименование товара, которое будет показано
покупателю
no_shipping
Не запрашивать адрес для доставки. "1" - не запрашивать адрес, "0" -
запрашивать
return
URL, куда покупатель будет перенаправлен после успешной оплаты.
Если этот параметр не передать, покупатель останется на сайте PayPal
rm
Этот параметр определяет, как будет передаваться информация об
успешно завершенной транзакции скрипту, указанному в параметре
return. "1" - никакие параметры передаваться не будут."2"
- будет использоваться метод POST. "0" - будет использоваться метод
GET. По умолчанию "0".
cancel_return
URL, куда покупатель будет перенаправлен при отмене им оплаты .
Если этот параметр не передать, покупатель останется на сайте PayPal
notify_url
URL, на который PayPal будет предавать информацию о транзакции (IPN).
Если не передавать этот параметр, будет использоваться значение, указанное в
настройках аккаунта. Если в настройках аккаунта это также не определено,
IPN использоваться не будет
custom
Значение этого поля не участвует в процессе покупки, оно просто
будет передано вашему скрипту при подверждении транзакции
invoice
Используется для передачи номера счета. Параметр
необязательный, но если вы передаете его, он должен быть уникальным для
каждой транзакции
amount
Сумма к оплате. Если этот параметр не передать, покупателю будет
предоставлена возможность ввести сумму самостоятельно(используется для donations)
currency_code
Код валюты. Возможные значения: "USD","EUR","GBP","YEN","CAD".
По умолчанию "USD"
В таблице приведены лишь наиболее часто используемые параметры. Полный список
смотрите в документации (ссылки в конце статьи).
Подписка
PayPal предоставляет возможность организовать подписку:
со счета клиента на ваш счет будет периодически переводиться определенная сумма,
причем клиент имеет возможность в любой момент отменить подписку. Вы можете
задать периодичность
и стоимость подписки, а также
пробный период, чтобы клиент мог убедиться в качестве предоставляемых вами услуг.
Пробный период может быть
как платным, так и бесплатным.
Обязательный параметр. Должен иметь значение
"_xclick-subscriptions"
business
Обязательный параметр - e-mail
продавца
item_number
Идентификатор товара. Это значение не будет
показано пользователю, однако будет передано вашему скрипту при
подтверждении транзакции.
item_name
Наименование товара, которое будет показано
покупателю
no_shipping
Не запрашивать адрес для доставки. "1" - не запрашивать адрес, "0" -
запрашивать
return
URL, куда покупатель будет перенаправлен после успешной оплаты.
Если этот параметр не передать, покупатель останется на сайте PayPal
rm
Этот параметр определяет, как будет передаваться информация об
успешно завершенной транзакции скрипту, указанному в параметре
return. "1" - никакие параметры передаваться не будут."2"
- будет использоваться метод POST. "0" - будет использоваться метод
GET. По умолчанию "0".
cancel_return
URL, куда покупатель будет перенаправлен при отмене им оплаты .
Если этот параметр не передать, покупатель останется на сайте PayPal
notify_url
URL, на который PayPal будет предавать информацию о транзакции (IPN).
Если не передавать этот параметр, будет использоваться значение, указанное в
настройках аккаунта. Если в настройках аккаунта это также не определено,
IPN использоваться не будет
custom
Значение этого поля не участвует в процессе покупки, оно просто
будет передано вашему скрипту при подверждении транзакции
invoice
Используется для передачи номера счета. Параметр
необязательный, но если вы передаете его, он должен быть уникальным для
каждой транзакции
a1
Стоимость первого пробного периода. Может быть "0", в этом случае
пробный период бесплатен. Если вы не предоставляете пробный период, не
передавайте этот параметр
p1
Длительность первого пробного периода. Если вы не предоставляете
пробный период, не передавайте этот параметр
t1
Единица измерения длительности первого пробного периода.
Возможные значения: "D"-дни, "W"-недели, "M"-месяцы, "Y"-годы.
Если вы не предоставляете пробный период, не передавайте этот параметр
a2
Стоимость второго пробного периода. Если вы не предоставляете пробный период, не
передавайте этот параметр
p2
Длительность второго пробного периода. Если вы не предоставляете
пробный период, не передавайте этот параметр
t2
Единица измерения длительности второго пробного периода.
Возможные значения: "D"-дни, "W"-недели, "M"-месяцы, "Y"-годы.
Если вы не предоставляете пробный период, не передавайте этот параметр
a3
Стоимость основного цикла подписки. Обязательный параметр
p3
Длительность основного цикла подписки. Обязательный параметр
t3
Единица измерения длительности основного цикла подписки. Обязательный параметр.
Возможные значения: "D"-дни, "W"-недели, "M"-месяцы, "Y"-годы.
src
Периодические платежи. "1" - платежи будут повторяться периодически.
Если параметр не передать, платеж будет произведен однократно.
sra
Если в этом параметре передать "1", и попытка перевода денег завершается неудачей
(например при недостатке средств на счете покупателя), то будет сделано еще до 2
попыток. После 3 неудачных попыток, подписка будет автоматически отменена.
Если не передать этот параметр, подписка будет автоматически отменена после первой же
неудачной попытки.
srt
Количество циклов подписки. Если этот параметр передан, подписка будет отменена
после указанного количества циклов. Если не передать этот параметр, подписка будет
действовать до тех пор, пока не будет отменена покупателем (либо автоматически при
ошибке транзакции)
modify
Возможность модификации. Возможные
значения: "0" - форма предназначена только для создания новой
подписки "1" - форма предназначена только для изменения параметров
существующей подписки "2" - форма предназначена как для создания новой
подписки, так и для изменения параметров существующей По умолчанию "0"
usr_manage
Автоматическая генерация имени пользователя и пароля. Передайте
"1", чтобы PayPal автоматически сгенерировал имя пользователя и
пароль.
currency_code
Код валюты. Возможные значения: "USD","EUR","GBP","YEN","CAD".
По умолчанию "USD"
IPN
IPN (Instant Payment Notification) - это технология PayPal, позволяющая
автоматизировать процесс обработки платежей. Суть ее заключается в том,
что на сервере продавца создается специаальный скрипт, и при возникновении
событий, имеющих отношение аккаунту продавца (таких, как платеж, отмена
платежа, создание или отмена подписки, и т.д.) сервер PayPal отправляет
этому скрипту IPN - POST-запрос с информацией о транзакции. Скрипт в свою
очередь посылает запрос серверу PayPal для проверки транзакции.
Итак, покупатель завершил оплату. С небольшой задержкой
(до нескольких секунд) сервер PayPal отправляет IPN скрипту, указанному в
настройках аккаунта или переданному в параметре notify_url.
Грамотно написанный IPN-скрипт является ключом к обеспечению безопасности
платежей. Если вы слышали о случаях обмана продавцов, использующих PayPal,
можете быть уверены: либо они вообще не использовали IPN, либо у них
"дырявый" IPN-скрипт
В первую очередь скрипт должен убедиться в том, что он действительно был
вызван сервером PayPal. Для этого он должен сформировать POST-запрос к https://www.paypal.com/cgi-bin/webscr,
передав все полученные переменные без изменения
с добавлением параметра cmd со значением _notify-validate. В ответ будет
возвращено либо VERIFIED в случае успешной верификациии транзакции, либо
INVALID в случае ошибки. В случае ответа INVALID
скрипт должен завершить работу.
Затем следует проверить получателя платежа, так как потенциальный
злоумышленник может изменить форму, чтобы
платеж был зачислен на его счет. Получатель платежа определяется по
переменным business и receiver_email.
Необходимость двух переменных объясняется тем, что PayPal позволяет
зарегистрировать для одного аккаунта несколько адресов e-mail. E-mail,
указанный при создании аккаунта, является первичным (primary email).
Значением receiver_email всегда является primary email. Если
платеж был отправлен на дополнительный email, то он передается через
business.
Если business и/или receiver_email не
содержит ожидаемого значения, скрипт немедленно завершает работу.
Теперь нужно проверить сумму и валюту платежа. Такая проверка необходима, так как
потенциальному злоумышленнику не составляет труда изменить сумму в форме,
В случае подписки, следует проверять все параметры подписки (наличие, продолжительность
и стоимость пробных периодов, продолжительность и стоимость основного
цикла подписки, и т.д.).
IPN для одной и той же транзакции может отправляться
более одного раза. Например, если платеж по какой-либо причине был задержан,
первый IPN будет передан сразу после платежа. После того, как платеж будет
завершен или отменен, будет отправлен второй IPN. Если ваш IPN-скрипт
не вернул HTTP статус 200, PayPal повторит отправку IPN через некоторое
время. Первый повтор будет через 10 секунд, затем при необходимости через 20,
потом через 40, 80 и т.д.(до 24 часов). Если в течение 4 суток ожидаемый
ответ от вашего скрипта не будет получен, попытки будут прекращены. Это можно
использовать для того, чтобы не потерять даные о транзакции в случае возникновения ошибки в вашем IPN
скрипте. Например, если скрипту не удалось подключиться к
базе данных, в которой он сохраняет данные о транзакциях, он
может вернуть HTTP статус 500, и IPN будет повторен позднее. Повторный IPN
будет отправлен также, если IPN-скрипт не обращается к серверу PayPal для
проверки транзакции.
Как видно из описания параметров return, rm и
notify_url, IPN может передваться двум скриптам, указанным в
параметрах return и notify_url. Между ними 2
различия:
IPN для return будет отправлен только однократно,
непосредственно после оплаты. notify_url может вызываться
несколько раз (см. предыдущий параграф).
Вывод скрипта return будет показан пользователю. Заметьте,
что если в выводе содержатся ссылки, то они должны быть абсолютными.
Вывод скрипта notify_url в браузер пользователя не
выводится.
В полученых
POST переменных содержится информация о транзакции. Наиболее часто используемые
переменные:
Параметр
Описание
txn_id
Уникальный номер транзакции
payment_date
Дата платежа в формате "18:30:30 Jan 1, 2000 PST"
payer_email
e-mail покупателя
business
e-mail продавца
payer_id
уникальный идентификатор покупателя. Участники расчетов в PayPal
идентифицируются по адресу e-mail, однако, учитывая, что имется
возможность изменить e-mail, лучше для идентификации покупателя
использовать payer_id
item_number
Идентификатор товара
item_name
Наименование товара
txn_type
Тип транзакции. Возможные
значения: "web_accept" - оплата была сделана с использованием кнопки "Buy Now" "cart" - оплата была сделана с использованием встроенной корзины PayPal "send_money" - оплата была сделана с использованием функции "Send money" "reversal" - деньги были возвращены покупателю по его инициативе
payment_status
Состояние платежа. Возможные
значения: "Completed" - транзакция завершена успешно, деньги переведены на счет продавца. В случае txn_type="reversal" означает,
что деньги были возвращены на счет покупателя "Pending" - платеж задержан. Причина задержки - в переменной pending_reason. После того, как платеж будет
завершен или отменен, PayPal отправит еще одно уведомление. "Failed" - платеж не прошел. Это состояние возможно только если платеж осуществялся с банковского счета "Denied" - платеж был отменен продавцом. Это состояние возникает при отмене продавцом платежа, состояние
которого было Pending "Refunded" - деньги были возвращены покупателю. Это состояние возникает при отмене продавцом платежа, состояние
которого было Completed
pending_reason
Причина задержки платежа. Возможные
значения: "echeck" - оплата была сделана электронным чеком "multi_currency" - платеж был проведен в валюте, которая не указана в настройках аккаунта продавца.
Платеж будет завершен после подтверждения транзакции продавцом "intl" - продавец не является жителем США. Платеж будет завершен после подтверждения транзакции продавцом "verify" - акккаунт продавца находится в состоянии "unverified". Платеж будет завершен после подтверждения
личности продавца. "address" - в настройках аккаунта продавца указано, что покупатель должен указать адрес для доставки,
но покупатель не указал адрес. Платеж будет завершен после подтверждения транзакции продавцом "upgrade" - платеж был сделан с кредитной карты, при этом аккаунт продавца имеет статус "Personal".
Для завершения платежа продавец должен обновить аккаунт до "Business" или "Premier" "unilateral" - e-mail продавца не зарегистрирован в системе. "other" - другая причина. Продавцу следует связаться со службой поддержки для выяснения причины.
payment_type
Тип платежа. Возможные значения: "echeck" - оплата была сделана электронным чеком "instant" - оплата была сделана с кредитной карты, банковского счета или используя средства на PayPal аккаунте
покупателя
mc_gross
Сумма платежа.
mc_fee
Сумма коммиссионных. Сумма, зачисленная на счет продавца, определяется как mc_gross–mc_fee
mc_currency
Валюта платежа
first_name
Имя покупателя.
last_name
Фамилия покупателя.
address_street
Улица
address_city
Город
address_state
Штат/Регион
address_zip
Почтовый индекс
address_country
Страна
verify_sign
Цифровая подпись. Используется PayPal при проверке транзакции
Дополнительные переменные, используемые с подпиской
Параметр
Описание
txn_type
Тип транзакции. Возможные значения: "subscr_signup" - попдиска "subscr_cancel" - отмена подписки "subscr_failed" - попытка платежа завершилась неудачно "subscr_payment" - попытка платежа завершилась удачно "subscr_eot" - окончание цикла подписки "subscr_modify" - изменение параметров подписки
subscr_date
Дата подписки или отмены подписки
subscr_effective
Дата вступления в силу изменений параметров подписки.
Передается только в случае txn_type=subscr_modify