PayPal integreren

Als je de documentatie van IPN zou doorlezen, weet je dat IPN een bericht naar je server terugstuurt bij betaling. Daarmee kan je dus makkelijk verifieren of de betaling echt is aangekomen, betaald is en of alles klopt (bedrag, valuta etc).

Daarnaast zijn alle gegevens via een controlehash "versleuteld". Niet echt om zorgen om te maken.

zoals TweakBoy zegt... er zit een controle hash in.. en die hash bevat ook gegevens die NIET in het formulier staan
(als ik het me goed herinner... maar is vrijwel standaard in elke online betalingsmethode)

[ Voor 28% gewijzigd door Camulos op 15-02-2011 08:33 ]

Ben juist klaar met het integreren van paypal ExpressCheckout NVP betaling in mijn site.

Hierbij werd de gebruiker na het invullen van de form naar een andere pagina op de server gestuurd welke het bedrag uit de database haalde om vervolgens dit bedrag door te sturen naar paypal.

Ik weet niet hoe jij het op dit moment aan het integreren bent maar misschien heb je iets aan deze info.

Er is wel een trucje die je kan uithalen als verkoper als je gebruik maakt van de ExpressCheckout.

Eerst stuur je SetExpressCheckout, je krijgt een linkje terug waar je je klant naar redirect. Vervolgens komt men vanaf PayPal terug op jouw site en kan je de GetExpressCheckoutDetails doen. Normaal zou je dan nog een knop moeten tonen met bevestiging waarna je (als de klant op de knop heeft gedrukt) DoExpressCheckoutPayment doet. Maar niets let je om die knop over te slaan natuurlijk .

Maar als jij stelselmatig het bedrag 1 euro hoger maakt dan ze betalen oid krijg je veel klachten en sta je snel in de kijker.

Met bepaalde settings is het overigens toegestaan die stap over te slaan, dan moet je iets als Direct=1 meesturen oid, dan vervangt PayPal de button van "Continue" meteen al naar "Purchase" maar weet t even niet meer uit m'n hoofd...

endness schreef op maandag 14 februari 2011 @ 22:56:
Voor een toekomstige website ben ik bezig met het integreren van PayPal. Nu heb ik verschillende scripts en classes gevonden, en veel daarvan werken met IPN. Leuk en aardig, maar deze methode gebruikt hidden formfields, onder andere om het bedrag door te geven. Nu is het met een plugin als FireBug voor Firefox vrij simpel om htmlpagina's aan te passen. Ik vraag me dus af of het wel helemaal veilig is, en ik niet elke transactie zelf moet controleren, of het bedrag niet op 1 cent is gezet..

Heeft iemand hier ervaring mee, of een script wat zekerder is/overkomt?

Met paypal is dat een van de minste problemen die je tegen zal komen. Gestolen accounts en chargeback fraude zijn hier nog erger als bij creditcards.

(als ik het me goed herinner... maar is vrijwel standaard in elke online betalingsmethode)

Niet bij bijvoorbeeld iDeal, daar wordt de transactie op de achtergrond aangemaakt en wordt je doorgestuurd naar het iDeal platform van de betreffende bank met een uniek token.

ReenL schreef op vrijdag 18 februari 2011 @ 19:49:
Met paypal is dat een van de minste problemen die je tegen zal komen. Gestolen accounts en chargeback fraude zijn hier nog erger als bij creditcards.

Als de klant het bedrag heeft veranderd in 1 cent en paypal netjes 1 cent met de klant afrekent omdat dit het bedrag is wat volgens jou site door de klant betaald moet worden en jij stuurt vervolgens volledig automagisch je product op omdat je denkt dat er €10,- is betaald is dit wel je grootste probleem.

Gestolen accounts en chargeback fraude kan je over de schuldvraag in discussie met paypal. Maar in voorgaande situatie heb je geen poot om op te staan.

Maar gelukkig krijg je van paypal netjes te horen hoeveel er uiteindelijk is betaald door de klant en kan je hierop reageren.

ajakkes schreef op dinsdag 22 februari 2011 @ 14:22:
[...]


Als de klant het bedrag heeft veranderd in 1 cent en paypal netjes 1 cent met de klant afrekent omdat dit het bedrag is wat volgens jou site door de klant betaald moet worden en jij stuurt vervolgens volledig automagisch je product op omdat je denkt dat er €10,- is betaald is dit wel je grootste probleem.

De klant kan in feite dat bedrag niet aanpassen want dan klopt de signature niet meer.

Gestolen accounts en chargeback fraude kan je over de schuldvraag in discussie met paypal. Maar in voorgaande situatie heb je geen poot om op te staan.

In principe kan de voorgaande situatie niet voorkomen als je het implementeert volgens de handleiding. De signature genereer je serverside.

Maar gelukkig krijg je van paypal netjes te horen hoeveel er uiteindelijk is betaald door de klant en kan je hierop reageren.

Dat kan altijd ja

ajakkes schreef op dinsdag 22 februari 2011 @ 14:22:
[...]

Gestolen accounts en chargeback fraude kan je over de schuldvraag in discussie met paypal. Maar in voorgaande situatie heb je geen poot om op te staan.

[...]

Beide hebben hetzelfde resultaat voor de 1 cent is nog enigszins een beetje technische kennis nodig. Voor chargeback fraude niet, paypal geeft haar "rekeninghouders" daar een grote knop voor.

Ik weet niet welke API TS precies aan het integreren is maar in sommige voorbeelden van paypal is amount een hidden variable van het formulier.
Ik kan me de vraag van TS dan ook wel voorstellen. Als je het formulier laat versturen en bij een ACK=SUCCES ervan uitgaat dat de betaling goed is verlopen heb je dus een probleem.

Maar zonder de methode is het moeilijk beoordelen hoe paypal het beveiligd heeft omdat het bij verschillende methodes verschillend is opgelost.

Maar als je het op de juiste manier implementeert is het voor de bezoeker niet mogelijk het bedrag aan te passen en kan je reageren op het betaalde bedrag en niet op het bedrag dat in het formulier neergezet is.

Maar daarvoor is het wel nodig om meer details te geven over de gebruikte methode.

Volgens mij zijn jullie een compleet loze discussie aan het voeren. Alle fatsoenlijke PayPal APIs (dus niet de standaard paypal knopjes) hebben namelijk gewoon controle mogelijkheden op bedrag, valuta en andere variabelen. Dat staat allemaal duidelijk in de handleiding. Er zijn voorbeelden beschikbaar aan code. Ik zie niet hoe deze loze discussie over gestolen accounts hier iets aan toevoegt.