首先完成商户注册并获取密钥,接着按支付流程生成订单、调用统一下单接口、处理同步与异步回调;PHP通过官方SDK实现支付宝H5支付,重点验证异步通知签名并更新订单状态,同时遵循安全规范如密钥隔离、HTTPS传输和日志记录。
在PHP开发中集成第三方支付接口,是电商、在线教育、SaaS平台等系统的核心功能之一。实现支付功能不仅需要理解业务流程,还要掌握安全规范和接口调用方式。下面以常见的支付宝和微信支付为例,介绍如何在PHP项目中实现支付功能。
1. 准备工作:注册商户并获取密钥
要接入第三方支付,第一步是注册对应的支付平台商户账号:
- 支付宝:前往支付宝开放平台注册企业账户,创建应用,获取AppID、支付宝公钥、应用私钥和支付宝网关地址。
- 微信支付:注册微信支付商户平台,配置APIv3密钥,下载平台证书,获取商户号(mch_id)、API密钥等信息。
注意:个人开发者账号权限有限,多数正式支付功能需企业资质。
2. 支付流程基本逻辑
无论使用哪个平台,支付流程大致相同:
立即学习“PHP免费学习笔记(深入)”;
网奇.NET商城系统
下载
网奇Eshop商城购物系统:集成国内优秀商城系统的成功元素,采用ASP.NET2.0语言设计开发.傻瓜式的管理模式,强大的后台管理,可添加或定制风格精美的模板,网站广告位任意添加,集成在线支付接口,内置简、繁、英三种语言.系统不断升级,力求尽善尽美.网奇商城的目标是:打造国内最到的商城系统! 升级功能:1.在线备份SQL数据库2.RSS在线订阅器3.整合了支付宝鲜花支付接口。4.整合了网奇E客通在
- 用户提交订单,后端生成唯一订单号并记录金额、商品信息。
- 调用支付平台的统一下单接口,传入订单数据,获取支付链接或二维码。
- 前端跳转或展示支付页面,用户完成付款。
- 支付平台异步通知(notify_url)服务器支付结果,需验证签名并更新订单状态。
- 前端同步回调(return_url)可跳转至支付成功页,但不能用于状态更新。
3. PHP实现示例:支付宝H5支付
以支付宝网页支付为例,使用官方SDK更稳定:
// 引入支付宝SDK(可通过Composer安装)
require_once 'vendor/autoload.php';
use Alipay\EasySDK\Kernel\Config;
use Alipay\EasySDK\Kernel\Factory;
$config = new Config();
$config->protocol = 'https://';
$config->gatewayHost = 'openapi.alipay.com';
$config->signType = 'RSA2';
$config->appId = 'your_app_id';
$config->merchantPrivateKey = '-----BEGIN PRIVATE KEY-----...';
$config->alipayPublicKey = '-----BEGIN PUBLIC KEY-----...';
Factory::setOptions($config);
// 调用支付接口
$response = Factory::payment()->page()->pay(
'测试商品', // 商品标题
'ORDER_20240405001', // 商户订单号
'9.90', // 金额
'http://yourdomain.com/return.php', // 同步回调地址
'http://yourdomain.com/notify.php' // 异步通知地址
);
// 输出跳转
echo $response->getBody();
4. 处理异步通知(关键步骤)
支付结果必须通过异步通知确认,不可依赖前端返回。以下是支付宝notify处理示例:
$notify_data = $_POST;
// 验证签名
$flag = Factory::payment()->common()->verifyNotify($notify_data);
if ($flag && $notify_data['trade_status'] == 'TRADE_SUCCESS') {
$out_trade_no = $notify_data['out_trade_no'];
// 查询本地订单是否存在且未支付
// 更新订单状态为已支付
file_put_contents('log.txt', "Payment success for order: " . $out_trade_no . "\n", FILE_APPEND);
echo 'success'; // 必须原样返回'success',否则会重复通知
} else {
echo 'fail';
}
注意:通知接口需避免抛出异常,防止重复推送;所有数据库操作建议加锁或幂等处理。
5. 安全与最佳实践
- 敏感信息(如密钥)应存于环境变量或配置文件,不写在代码中。
- 所有通知必须验证签名,防止伪造请求。
- 订单金额需与本地记录比对,防止篡改。
- 使用HTTPS协议,确保传输安全。
- 记录日志便于排查问题,尤其是支付通知和失败情况。
基本上就这些。支付功能看似复杂,核心在于理解流程和做好安全验证。选择成熟的SDK能大幅降低开发难度。调试阶段可使用沙箱环境测试,上线前务必进行完整流程验证。
