Mar16

【原创】微信支付平台appid使用注意事项

Author: leeon  Click: 158   Comments: 0 Category: 其他  Tag: 微信支付,openid

微信支付平台以前一个商户id只能对应一个公众号appid,后来在2017年新增了商户对应多APPID授权工具(M-A授权),这样可以给多个微信小程序和公众号开通授权支付功能,而不需要像以前那样一个公众号开通支付功能必须新增一个商户号。

最近开发中遇到一个问题:appid and openid not match

[code="xml"]
<xml>
<return_code><![CDATA[FAIL]]></return_code>
<return_msg><![CDATA[appid and openid not match]]></return_msg>
</xml>
[/code]

经过检查发现,一定要在微信支付统一下单接口中使用的appid为被绑定的公众号的appid,或者小程序id,而不是最早微信支付平台给绑定的appid。这个问题对于一个微信支付平台对应多个公众号支付或者小程序支付时,一定要注意APPID的设定是公众号或者小程序本身的appid

邮件中参数 API参数名 详细说明
APPID appid appid是微信公众账号或开放平台APP的唯一标识,在公众平台申请公众账号或者在开放平台申请APP账号后,微信会自动分配对应的appid,用于标识该应用。可在微信公众平台-->开发者中心查看,商户的微信支付审核通过邮件中也会包含该字段值。
微信支付商户号 mch_id 商户申请微信支付后,由微信支付分配的商户收款账号。
API密钥 key 交易过程生成签名的密钥,仅保留在商户系统和微信支付后台,不会在网络中传播。商户妥善保管该Key,切勿在网络中传输,不能在其他客户端中存储,保证key不会被泄漏。商户可根据邮件提示登录微信商户平台进行设置。也可按一下路径设置:微信商户平台(pay.weixin.qq.com)-->账户设置-->API安全-->密钥设置
Appsecret secret AppSecret是APPID对应的接口密码,用于获取接口调用凭证access_token时使用。
Mar7

【原创】利用sstap解决chrome离线版无法安装的问题

Author: leeon  Click: 166   Comments: 0 Category: 其他  Tag: chrome,sstap
作者一直使用chrome的离线版来更新chrome版本,离线版本在安装过程中并不会联网google的服务器,从而一直安装很顺利,但是发现最近下载的chrome离线版本在安装的时候都会去请求google的服务器,导致一直提示等待下载。鄙人不想使用收费的工具,想尝试使用win10上配置的代理方式来解决这个问题,但是无效。后来发现有sstap这一神器可以从底层上代理所有windows的网络请求,那就好办了,直接使用你所使用的免费socket代理工具就好了。传送门:https://github.com/XX-net/XX-Net
Feb16

【原创】如何通过phpstorm查看某一行代码的变更记录

Author: leeon  Click: 1455   Comments: 0 Category: 其他  Tag: phpstorm,php,git

多人维护的工程项目,往往对历史代码有些不理解,phpstorm在新版本中集成了一个很有用的功能

“Show History for Selection”

只要我们对有疑问的代码进行框选,然后右键点击git->Show History for Selection ,phpstorm就会去git history中去检查这行代码在历史记录中出现的状态。

Jan25

【原创】DiscuzX安全防护策略总结

Author: leeon  Click: 887   Comments: 0 Category: 其他  Tag: discuzx,入侵,木马,防护

最近对Discuz系统的木马清理及防护做了一番学习,对系统安全防护有了如下几点总结。

1. 常规的Linux系统层面的安全防护是基础,不外乎限定公网端口暴露数量以及传统基础服务的安全漏洞修复。

2. 动静态文件的可执行化分离,用户上传的行为文件的有效隔离,确保文件的非可执行。

3. DiscuzX之所以漏洞百出就在于大量使用的eval,exec类系统调用执行函数,同时对用户传递到服务器端的数据没有做统一的类型转换。系统前端有必要增加WAF的接入防护,同时对已经公开的漏洞进行代码级的修复。

4. DiscuzX的系统key都需要进行定期的更换,这两年DiscuzX系统被大规模入侵而导致360搜索引擎被大规模收录非法内容的问题,很多都因为ucenter的key被泄露,导致系统被植入了木马代码。同时dz底层的cookie加密key也有必要定期更换,否则被黑客非法获取后可以在本地搭建还建来模拟任何用户的登录。

5.对于任何PHP的系统都需要做文件MD5值的检查,定时扫描系统所有代码的MD5,避免对文件的直接篡改。

6.黑客对于木马植入不外乎对系统访问权限的渗透,因此除了系统指定的可写目录以外,尽量要避免黑客对非程序代码目录的可侵入性。例如/var/tmp, /tmp 这样的目录,任何权限组都可以写入时也需要定期进行安全扫描,检查这些目录中是否有可疑的文件存在。

7.preg_replace函数中/e 修饰符是非常危险的,在我们的系统中尽量要保证数据传参进来是可控的,如果被黑客利用自定义设定参数给到preg_replace,那么很有可能通过/e修饰符来执行php命令。

8. 黑客入侵修改文件不外乎使用include和requie来调用自己的隐蔽文件,通常为了不明文在代码中包含木马文件地址,会使用pack的手法进行一定的混淆。例如PACK('H*','XXXXX')

分类

标签

归档

最新评论

leo在17:57:04评论了
shell中使用while循环ssh的注意事项
呵呵哒啦在15:06:33评论了
【原创】最佳PHP框架选择(phalcon,yaf,laravel,thinkphp,yii)
jayden在23:39:32评论了
shell中使用while循环ssh的注意事项
ligaofeng在11:55:22评论了
file_get_contents超时问题的解决方法
我也不知道叫个啥好在00:59:46评论了
shell中使用while循环ssh的注意事项

我看过的书

链接

其他

访问本站种子 本站平均热度:6534 c° 本站链接数:27 个 本站标签数:442 个 本站被评论次数:90 次