Qiwi. Форма и обработка запроса

Статья о платежной системе Qiwi. Рассмотрим только html форму и обработку запроса от сервера. Это можно использовать, например, для пополнения счета или оплату товара на сайте.

PULL (REST) протокол

Вместо старой html формы рассмотрим новый протокол, который полностью ее заменил
Сначала нужно выставить пользователю счет. Для этого отправим запрос через cURL:

$url = 'https://w.qiwi.com/api/v2/prv/'.$shopid.'/bills/'.$id;
$loginPass = $apiid.':'.$pass;
$lifetime = date('c', time() + 86400);
$parameters = array(
    "user" => "tel:+".intval($mobile),
    "amount" => $amount,
    "ccy" => $currency,
    "comment" => $comment,
    "lifetime" => $lifetime,
    "pay_source" => "qw"
);
$headers = array(
 "Accept: application/json",
 "Content-Type: application/x-www-form-urlencoded; charset=utf-8"
);
$parameters = http_build_query($parameters);
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
curl_setopt($ch, CURLOPT_HTTPAUTH, CURLAUTH_BASIC);
curl_setopt($ch, CURLOPT_USERPWD, $loginPass);
curl_setopt($ch, CURLOPT_CUSTOMREQUEST, 'PUT');
curl_setopt($ch, CURLOPT_POSTFIELDS, $parameters);
curl_setopt($ch, CURLOPT_POST, 1);
$httpResponse = curl_exec($ch);
$results = json_decode($httpResponse);
$result_code = $results->response->result_code;
$description = $results->response->description;

$shopid - Идентификатор вашего магазина
$id - ID платежа в вашей системе. Будет использован для поиска нужного платежа в вашей БД
$apiid - Ваш API ID
$pass - Пароль API
$mobile - Телефон (аккаунт) пользователя, на который будет выставлен счет
$amount - Сумма, на которую выставляется счет
$currency - Валюта. По-умолчанию доступна только RUB (рубли РФ)
$comment - Описание платежа
$lifetime - Время, которое выставленный счет будет активен (можно оплатить). В примере - сутки.
$result_code - Код ответа сервера. Если не равен 0 - ошибка.
$description - Текст ошибки, если она есть

Счет выставили, теперь нужно отправить пользователя на оплату. Сгенерируем ссылку:

$url = 'https://w.qiwi.com/order/external/main.action?shop='.$shopid.'&transaction='.$id.'&successUrl='.$success_url.'&failUrl='.$fail_url.'&qiwi_phone='.$mobile;

$shopid - Идентификатор вашего магазина (тот-же, что и выше)
$id - ID платежа в вашей системе. Будет использован для поиска нужного платежа в вашей БД (тот-же, что и выше)
$success_url - Ссылка на страницу успешной оплаты (Вернуться на ваш сайт после оплаты)
$fail_url - Ссылка на страницу ошибки или отказа от оплаты (Вернуться на ваш сайт после неудачной оплаты)
$mobile - Телефон (аккаунт) пользователя, на который будет выставлен счет (тот-же, что и выше)

И отправляем пользователя на этот URL, например так:

header('Location: '.$url);

Настройка аккаунта

Настроить аккаунт можно по адресу: https://ishop.qiwi.com/balance/overview.action (официальный сайт Qiwi)
Нужно создать проект: "Новый проект". Поля элементарные, описывать не буду. Обратите внимание, что API будут работать только после проверки проекта администрацией Qiwi (статус "Подтвержден").
Переходим в настройки проекта, кликом на его название:
Аутентификационные данные для всех протоколов - Сгенерировать новый ID. Записать в свою БД (Идентификатор - переменная $apiid в этой статье, пароль - переменная $pass)
Идентификатор магазина - Записать в свою БД (переменная $shopid в этой статье)
Настройки Pull (REST) протокола - Включить
Включить уведомления - Включить
URL для оповещения - Ссылка на файл обработки операции. Описание содержания этого файла смотрите в пункте "Обработка запроса" этой статьи
Сменить пароль оповещения - нажать и сохранить пароль в БД (переменная $key в этой статье)
Подпись - Отметить галочкой

Обработка запроса

После оплаты платежная система присылает запрос на указанный вами URL для оповещения. В этом файле, в первую очередь, необходимо проверить подлинность запроса, ведь он мог быть запущен не платежной системой. После чего уже делаем нужны операции: изменение статуса платежа в вашей БД или пополнение счета пользователя на сайте. Начнем по порядку.
Система присылает следующие данные (сразу сократим названия переменных, зачем нам в коде длинные переменные?):

$id          =trim($_POST['bill_id']);
$status      =trim($_POST['status']);
$error       =trim($_POST['error']);
$amount      =trim($_POST['amount']);
$user        =trim($_POST['user']);
$prv_name    =trim($_POST['prv_name']);
$ccy         =trim($_POST['ccy']);
$comment     =trim($_POST['comment']);
$command     =trim($_POST['command']);
$head        =apache_request_headers();
$hash        =$head['X-Api-Signature'];

bill_id - ID платежа в вашей системе
status - Статус платежа. Успешный: paid
error - Ошибка, если она есть
amount - Сумма платежа
user - Телефон (аккаунт) пользователя, который оплатил счет
ccy - Валюта платежа
comment - Описание платежа
X-Api-Signature - Подпись запроса (хеш)

Теперь нужно проверить хеш. Это обязательное действие. Без него безопасность данной операции будет близка к нулю.
Создадим свой вариант хеша, по возможности используя данные из своей БД (постфикс _bd в переменных; используйте $id для поиска нужной транзакции):

$hash_gen = base64_encode(hash_hmac("sha1", $amount_bd.'|'.$id.'|'.$ccy_bd.'|'.$command.'|'.$comment.'|'.$error.'|'.$prv_name.'|'.$status.'|'.$user_bd, $key, $raw_output=TRUE));
if($hash_gen!=$hash) // ошибка

Переменная $key - пароль оповещения, который вы встречали в настройках аккаунта

С проверками закончили. Теперь можно сделать то, ради чего этот запрос пришел - изменить статус транзакции или пополнить счет пользователя, на ваше усмотрение. И эти действия я описывать не буду - все в ваших руках.

Осталось только вернуть системе правильный ответ.
Ответ для успешного завершения:

header("HTTP/1.1 200 OK");
header('content-type: text/xml; charset=UTF-8');
echo '0'; 
exit; 

Для завершения с ошибкой - измените result_code (0) на другой:
5 - Ошибка формата параметров запроса
13 - Ошибка соединения с базой данных
150 - Ошибка проверки пароля
151 - Ошибка проверки подписи
300 - Ошибка связи с сервером

Вот и все, запрос завершен и эта статья тоже.

Список статей о платежных системах смотрите здесь

Яндекс Деньги. Форма и обработка запроса

Статья о платежной системе Яндекс Деньги. Рассмотрим только html форму и обработку запроса от сервера. Это можно использовать, например, для пополнения счета или оплату товара на сайте.

HTML форма

HTML форма располагается у вас на сайте и служит переходом с вашего сайта на сайт платежной системы. Передает ей все необходимые данные через POST запрос.
Код формы:

label - ID платежа в вашей системе. Будет использован для поиска нужного платежа в вашей БД
receiver - Ваш кошелек, на него будет происходить оплата (14 цифр)
sum - Сумма оплаты в рублях
quickpay-form - Тип транзакции (shop - универсальная форма; donate - «благотворительная» форма; small - кнопка)
paymentType - Определяет средство платежа (PC – оплата со счета Яндекс Денег; AC – оплата с банковской карты)
formcomment - Название платежа (до 50 символов)
short-dest - Название платежа на странице подтверждения
targets - Назначение платежа (до 150 символов)

Настройка аккаунта

Настроить нужные поля аккаунта можно по адресу: https://sp-money.yandex.ru/myservices/online.xml (официальный сайт Яндекс Денег)
Поле ввода - ссылка на файл обработки операции (далее URL). Описание содержания этого файла смотрите в пункте "Обработка запроса" этой статьи
Кнопка "Изменить секрет" - введите сюда какой-нибудь пароль и сохраните его в БД вашего сайта, он еще пригодится
Галочка "Отправлять уведомления" - нужно отметить, включит отправку запроса на URL, указанный выше.

Обработка запроса

После оплаты платежная система присылает запрос на указанный вами URL. В этом файле, в первую очередь, необходимо проверить подлинность запроса, ведь он мог быть запущен не платежной системой. После чего уже делаем нужны операции: изменение статуса платежа в вашей БД или пополнение счета пользователя на сайте. Начнем по порядку.
Система присылает следующие данные (сразу сократим названия переменных, зачем нам в коде длинные переменные?):

$id      =trim($_POST['label']);    
$order   =trim($_POST['operation_id']);       
$payer   =trim($_POST['sender']);      
$odate   =trim($_POST['datetime']);   
$code    =trim($_POST['codepro']);       
$amount  =trim($_POST['amount']);    
$wamount =trim($_POST['withdraw_amount']);   
$cur     =trim($_POST['currency']);   
$type    =trim($_POST['notification_type']);  
$hash    =trim($_POST['sha1_hash']);   

label - ID платежа, который вы указали в форме
operation_id - Идентификатор операции в истории счета получателя
sender - Для переводов из кошелька — номер счета отправителя. Для переводов с произвольной карты — параметр содержит пустую строку
datetime - Дата и время совершения перевода
codepro - Для переводов из кошелька — перевод защищен кодом протекции. Для переводов с произвольной карты — всегда false.
amount - Сумма, которая зачислена на ваш счет
withdraw_amount - Сумма, которая списана со счета отправителя (совпадает с суммой, указанной в форме)
currency - Код валюты — всегда 643 (Рубль РФ)
notification_type - Для переводов из кошелька — p2p-incoming; Для переводов с произвольной карты — card-incoming
sha1_hash - SHA-1 hash параметров уведомления.

Теперь нужно проверить хеш. Это обязательное действие. Без него безопасность данной операции будет близка к нулю.
Создадим свой вариант хеша:

$hash_gen = hash("sha1", $type.'&'.$order.'&'.$amount.'&'.$cur.'&'.$odate.'&'.$payer.'&'.$code.'&'.$key.'&'.$id);
if($hash_gen!=$hash) // ошибка

Заметили переменную $key, которая ранее нигде не фигурировала? Это секретный ключ, который вы вводили в настройках аккаунта. Система не присылает его, поэтому он должен храниться у вас в БД

С проверками закончили. Теперь можно сделать то, ради чего этот запрос пришел - изменить статус транзакции или пополнить счет пользователя, на ваше усмотрение. И эти действия я описывать не буду - все в ваших руках.

Осталось только вернуть системе правильный ответ. Тут все просто. Если обработка успешно завершена - отвечаем OK, а если нет - CANCEL
Пример правильного ответа:

exit('OK');

Вот и все, запрос завершен и эта статья тоже.

Список статей о платежных системах смотрите здесь

WebMoney. Форма и обработка запроса

Статья о платежной системе WebMoney. Рассмотрим только html форму и обработку запроса от сервера. Это можно использовать, например, для пополнения счета или оплату товара на сайте.

HTML форма

HTML форма располагается у вас на сайте и служит переходом с вашего сайта на сайт платежной системы. Передает ей все необходимые данные через POST запрос.
Код формы:

LMI_PAYEE_PURSE - Ваш кошелек, на него будет происходить оплата (буква - инициал кошелька и 12 цифр)
LMI_PAYMENT_NO - ID платежа в вашей системе. Будет использован для поиска нужного платежа в вашей БД
LMI_PAYMENT_AMOUNT - Сумма оплаты в валюте указанного кошелька (R кошелек - рубли, Z - доллары и т.д.)
LMI_PAYMENT_DESC - Описание платежа. Его увидит пользователь после перехода на оплату
user_field_1 - Дополнительное поле (не обязательное). Можно использовать для передачи дополнительных данных на ваш файл обработки

Так-же существует альтернативное поле LMI_PAYMENT_DESC_BASE64. Используется вместо обычного LMI_PAYMENT_DESC. Содержит в себе описание платежа закодированное в base64. Это решит проблему с кодировкой описания, если она возникает.

Настройка аккаунта

Настроить аккаунт можно по адресу: https://merchant.webmoney.ru/conf/purses.asp (официальный сайт WebMoney)
Настроить нужно все кошельки, которые вы собираетесь использовать (ссылка "настроить" рядом с каждым кошельком)
Поля, которые необходимо настроить:
Тестовый/Рабочий режимы - выкл - не принимает платежи, тестовый - отправляет запрос, но не отправляет средства, рабочий - все включено (он нам и нужен)
Торговое имя - название вашего сайта, его будут видеть пользователи во время оплаты
Secret Key - секретный ключ. Введите сюда какой-нибудь пароль и сохраните его в БД вашего сайта, он еще пригодится (НЕ отмечайте галочку рядом с этим полем)
Result URL - ссылка на файл обработки операции. Описание содержания этого файла смотрите в пункте "Обработка запроса" этой статьи (галочку рядом с этим полем отмечайте по желанию, она включает предзапрос)
Success URL - Ссылка на страницу успешной оплаты (Вернуться на ваш сайт после оплаты)
Fail URL - Ссылка на страницу ошибки или отказа от оплаты (Вернуться на ваш сайт после неудачной оплаты)
Метод формирования контрольной подписи - Выберите MD5

Остальные поля изменяйте по желанию или необходимости. На работу кодов, указанных в статье они влиять не будут.

Обработка запроса

После оплаты платежная система присылает запрос на указанный вами Result URL. В этом файле, в первую очередь, необходимо проверить подлинность запроса, ведь он мог быть запущен не платежной системой. После чего уже делаем нужны операции: изменение статуса платежа в вашей БД или пополнение счета пользователя на сайте. Начнем по порядку.
Система присылает следующие данные (сразу сократим названия переменных, зачем нам в коде длинные переменные?):

$id      =trim($_POST['LMI_PAYMENT_NO']);      
$pmode   =trim($_POST['LMI_MODE']);      
$payee   =trim($_POST['LMI_PAYEE_PURSE']);      
$payer   =trim($_POST['LMI_PAYER_PURSE']);   
$payerwm =trim($_POST['LMI_PAYER_WM']);       
$amount  =trim($_POST['LMI_PAYMENT_AMOUNT']);   
$pre     =trim($_POST['LMI_PREREQUEST']);   
$usr     =trim($_POST['user_field_1']);
$invs    =trim($_POST['LMI_SYS_INVS_NO']);   
$trans   =trim($_POST['LMI_SYS_TRANS_NO']);   
$tdate   =trim($_POST['LMI_SYS_TRANS_DATE']);   
$md5str  =strtoupper(trim($_POST['LMI_HASH'])); 

LMI_PAYMENT_NO, LMI_PAYEE_PURSE, LMI_PAYMENT_AMOUNT, user_field_1 - эти поля уже описаны выше. Система просто присылает указанные вами данные обратно.
LMI_MODE - 1 - тестовый платеж (средства не отправляются), 0 - реальный платеж
LMI_PAYER_PURSE - Кошелек плательщика. С этого кошелька пользователь оплатил эту транзакцию.
LMI_PAYER_WM - WMID плательщика.
LMI_PREREQUEST - Предзапрос или нет. Если предзапрос - нижние 4 поля не присылаются. Предзапрос предназначен для проверки работоспособности вашего сайта перед реальным запросом. Не производите никаких действий , кроме проверок, во время предзапроса.
LMI_SYS_INVS_NO - ID счета
LMI_SYS_TRANS_NO - ID платежа в платежной системе
LMI_SYS_TRANS_DATE - Дата платежа
LMI_HASH - MD5 хеш. Используется для проверки подлинности запроса.

Теперь нужно проверить хеш. Это обязательное действие. Без него безопасность данной операции будет близка к нулю.
Создадим свой вариант хеша, по возможности используя данные из своей БД (постфикс _bd в переменных; используйте $id для поиска нужной транзакции):

$md5string = strtoupper(md5($purse_bd.$amount_bd.$id.$pmode.$invs.$trans.$tdate.$key.$payer.$payerwm)); 
if($md5string!=$md5str) // ошибка

Заметили переменную $key, которая ранее нигде не фигурировала? Это секретный ключ, который вы вводили в настройках аккаунта. Система не присылает его, поэтому он должен храниться у вас в БД

С проверками закончили. Теперь можно сделать то, ради чего этот запрос пришел - изменить статус транзакции или пополнить счет пользователя, на ваше усмотрение. И эти действия я описывать не буду - все в ваших руках. Только не забудьте не производить этих действий, если это предзапрос ($pre).

Осталось только вернуть системе правильный ответ. Тут все просто. Если обработка успешно завершена - отвечаем YES, а если нет - любой другой текст, он будет воспринят как ошибка и показан пользователю. Такой ответ актуален и для предзапроса тоже.
Пример правильного ответа:

exit('YES');

Вот и все, запрос завершен и эта статья тоже.

Список статей о платежных системах смотрите здесь