Убедитесь, что страница возврата PayPal поступает из Paypal

В дополнение к моему вопросу и удивительным ответам из предыдущего потока, Перенаправление / Возврат Проверка в PHP

Я также хотел бы знать, если страница подтверждения платежа будет возвращена на мой сайт из PayPal, как я могу на 100% уверен, что она поступает с PayPal и производится платеж?

С уважением, Энди

Чтобы убедиться, что запрос поступает с PayPal, вы можете попробовать разрешить IP-адрес:

if (preg_match('~^(?:.+[.])?paypal[.]com$~', gethostbyaddr($_SERVER['REMOTE_ADDR'])) > 0) { // came from PayPal } 

Вы можете (и должны) также запросить https://www[.sandbox].paypal.com/cgi-bin/webscr/ с теми же данными, которые вы получили в POST, и добавить _notify-validate ключ-значение cmd => _notify-validate запрос, если ответ VERIFIED данные действительны.

См. Также этот вопрос: PayPal IPN Security