别用IP地址或者Referer头做验证——这些太容易伪造了，完全不安全。PayPal官方提供了专门的机制来确认请求合法性，针对你这种支付后重定向的场景，**PDT（Payment Data Transfer）**是最适配的方案，再配合IPN（Instant Payment Notification）做双重验证会更稳妥。下面一步步来实现：

1. 先开启PayPal的PDT功能 #

登录你的PayPal商家账户，按以下步骤操作：

• 进入「卖家工具」→ 找到「网站支付偏好设置」
• 启用「Payment Data Transfer（PDT）」，然后复制生成的身份令牌（Identity Token）——把这个令牌存在你的服务器配置文件里，后面代码会用到。

2. 在payment.php中实现PDT验证 #

当用户支付成功后，PayPal会将用户的浏览器重定向到你设置的payment.php，同时带上tx（交易ID）等参数。你需要向PayPal发送验证请求，确认这个交易是真实有效的，只有验证通过才允许后续业务逻辑执行。

这里是PHP代码示例：

<?php
// 配置PayPal环境信息（区分沙箱和生产环境）
$paypal_mode = 'sandbox'; // 正式上线改为 'live'
$paypal_identity_token = '你的PDT身份令牌';

// 接收PayPal返回的交易ID参数
$tx_id = $_GET['tx'] ?? '';

if (empty($tx_id)) {
    // 无有效交易ID，直接拒绝访问
    header("HTTP/1.1 403 Forbidden");
    exit("Access Denied: No valid transaction ID provided.");
}

// 构建向PayPal发送的验证请求参数
$request_params = [
    'cmd' => '_notify-synch',
    'tx' => $tx_id,
    'at' => $paypal_identity_token
];

// 选择对应环境的PayPal验证地址
$paypal_url = $paypal_mode === 'sandbox' 
    ? 'https://www.sandbox.paypal.com/cgi-bin/webscr' 
    : 'https://www.paypal.com/cgi-bin/webscr';

// 用curl发送验证请求（比file_get_contents更可靠）
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $paypal_url);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($request_params));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true); // 必须验证SSL证书，防止中间人攻击
$response = curl_exec($ch);
curl_close($ch);

// 解析PayPal的验证响应
if (!$response) {
    header("HTTP/1.1 403 Forbidden");
    exit("Access Denied: Failed to connect to PayPal for verification.");
}

// 响应第一行是SUCCESS或FAIL，以此判断合法性
$response_lines = explode("\n", trim($response));
$verification_status = strtoupper(trim($response_lines[0]));

if ($verification_status !== 'SUCCESS') {
    header("HTTP/1.1 403 Forbidden");
    exit("Access Denied: Invalid transaction verification.");
}

// 到这里就确认是合法的PayPal请求了，可以继续处理你的业务逻辑
// 比如更新订单状态、发送用户通知等
echo "Payment verified successfully!";
?>

3. 额外的安全建议 #

• 强制使用HTTPS：确保你的网站与PayPal之间的通信全程加密，防止参数被篡改。
• 记录操作日志：把验证请求和响应都记录下来，方便后续排查交易纠纷或问题。
• 搭配IPN使用：PDT依赖用户浏览器的重定向，如果用户支付后直接关闭页面，PDT就不会触发。IPN是PayPal主动向你服务器发送的异步通知，不管用户是否跳转，都能确保你收到交易信息，双重保障更可靠。
• 不直接信任客户端参数：哪怕PayPal返回了金额、订单号等参数，也要从验证后的响应中提取，不要直接用$_GET里的值——避免恶意用户篡改参数。

为什么不用Session？ #

Session是基于用户浏览器的会话，PayPal的重定向是用户浏览器发起的，所以用户的Session确实会存在，但这无法证明请求来自PayPal——用户完全可以手动输入payment.php地址，或者伪造参数访问。所以Session在这里起不到限制仅PayPal访问的作用，必须依赖PayPal官方的验证机制。

内容的提问来源于stack exchange，提问作者zoenightshade