最近帮好几个做个人小项目的朋友调试过宝塔面板对接易支付的数据库交互,发现大家踩的坑几乎都一样——要么是宝塔里的数据库配置漏了细节,要么是易支付的回调没连对数据库,明明跟着教程做了就是出问题,有的卡一天都找不到原因。
其实这个对接操作本身不算难,核心是把“宝塔环境的数据库”和“易支付的支付逻辑”打通,确保支付订单的状态能实时同步到宝塔的数据库里,今天就把我整理的实操细节说透,避免大家再踩重复的坑。
先讲前期准备,这步是基础,我见过太多人栽在这。
首先得确保你的宝塔面板已经搭好了网站环境,PHP版本建议选7.3或者7.4——易支付官方明确说7.0以下版本不兼容,8.0以上版本有些扩展可能不兼容,上次一个朋友用8.2装,结果回调类加载失败,折腾半天才换回7.4。
然后是建数据库,在宝塔的“数据库”模块点“添加”,这里一定要注意三个细节:一是用户权限要选“所有权限”,别只选查或者改,不然后续数据库更新会报错;二是编码选utf8mb4,不是utf8,不然订单备注里的 emoji 或者特殊符号会变问号;三是把用户名和密码记死,别和你宝塔里其他项目的数据库重名,不然后续改配置会乱。
然后是宝塔里部署易支付源码,这步很多人直接甩源码上去就不管,其实得先改核心配置文件。
源码里的config.php路径一般是/www/wwwroot/你的域名/config.php,用宝塔的“文件”模块在线编辑,找到数据库配置的地方:’host’ => ‘127.0.0.1’(宝塔里本地数据库都是这个,别填公网IP),’port’ => 3306(默认端口,没改过就不用动),’username’ => 你刚才建的数据库用户名,’password’ => 对应的密码,’database’ => 数据库名,还有前缀,默认是’ep_’,如果你的宝塔数据库里装了其他项目,比如博客,表名前缀是’blog_’,这里改成’ep_’或者其他不冲突的就行——我之前帮一个同时做博客和付费项目的用户,就是没改前缀,导致博客的评论表被易支付覆盖,数据全丢了,这个一定要提。
核心的数据库交互部分,其实就是“支付回调时,易支付把订单状态传回宝塔的数据库”,这是对接的灵魂,也是出问题最多的地方。
首先得在宝塔的“网站”设置里,确保域名的 SSL 证书装好了(如果用HTTPS的话),然后去易支付后台的“支付配置”里,把回调地址填成你的域名加上/api/notify.php,比如 https:// 你的域名/api/notify.php——这里要注意,宝塔的防火墙要放行80和443端口,很多新手忘了在宝塔的“安全”模块加规则,导致易支付发回调请求过来被挡,订单一直显示“待支付”,我上次帮一个做虚拟资料售卖的用户,就是这个问题,他说自己付了钱没到账,找了半天发现防火墙没开端口,回调请求被拦截了。
接下来是数据库的实际验证,你可以用易支付后台的“测试订单”功能发起一笔测试支付,或者用自己的微信/支付宝测试款付个0.01元的小金额。
支付完成后,别着急去订单页看,先去宝塔的“数据库”点“phpMyAdmin”,找到你建的易支付数据库,看ep_order表(如果你改了前缀就是pay_order)里的状态字段,默认status是0代表待支付,1代表已支付,2代表已退款,你付完款后应该看到status变成1,这就说明数据库交互成功了。
如果没变化,先看宝塔的“网站”日志,在“日志”模块里找api/notify.php的错误,大概率是数据库密码错或者权限不够,别瞎改源码里的数据库连接部分,易支付自带的类已经封装好了,只要配置对就行。
还有几个容易忽略的细节,能帮你避免后续掉坑。
第一,宝塔里的PHP扩展要确认有mysqli,在“软件商店”里找到你装的PHP版本,点“设置”,在“扩展”里勾上mysqli,重启PHP,不然数据库连不上;第二,改完配置文件后,要重启宝塔的PHP,不然配置不生效,别以为改了就完了,很多人忘了重启;第三,宝塔的计划任务要设置数据库备份,我习惯每天凌晨备份一次,存到宝塔的“数据库”里或者云盘,防止数据丢失,毕竟支付订单的数据很重要;第四,如果是正式上线,别用易支付的测试模式,要在“支付配置”里填你自己的支付商户号和密钥,而且要确保回调地址是HTTPS的,不然有些支付渠道会拒绝请求。
最后再总结一下,宝塔对接易支付的数据库交互,核心就是“宝塔里的数据库配置要对、回调地址要通、端口和权限要开”,看似简单的几步,每个细节都不能漏。
我见过很多新手因为少开一个端口、写错一个密码,折腾大半天,其实只要跟着刚才的步骤,每一步都核对一遍,基本上一次就能成。
如果真的遇到问题,可以去宝塔的官方社区搜“易支付对接”,或者去易支付的文档里看回调的参数说明,别自己乱改代码,不然容易把数据库改坏。
毕竟支付项目的数据库是核心,谨慎一点总没错,毕竟真要是出了问题,影响的是用户的收款体验,可就得不偿失了。
电脑经常弹出“access violation at address 004082DB in module “svchost.exe”.Write of address 0046ea0
存取违规处理DB在模块中“ ” 。收件地址0046ea0开始—-》控制面板—》任务计划—-》里面的删了再下载这个扫一下就可以了的
什么是挂马网页
网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里 网页挂马工作原理作为网页挂马的散布者,其目的是将木马下载到用户本地,并进一步执行,当木马获得执行之后,就意味着会有更多的木马被下载,进一步被执行,进入一个恶性的循环,从而使用户的电脑遭到攻击和控制。
为达到目的首先要将木马下载到本地。
面!再加代码使得木马在打开网页是运行! 网页挂马常见的方式1.将木马伪装为页面元素。
木马则会被浏览器自动下载到本地。
2.利用脚本运行的漏洞下载木马 3.利用脚本运行的漏洞释放隐含在网页脚本中的木马 4.将木马伪装为缺失的组件,或和缺失的组件捆绑在一起(例如:flash播放插件)。
这样既达到了下载的目的,下载的组件又会被浏览器自动执行。
5.通过脚本运行调用某些com组件,利用其漏洞下载木马。
6.在渲染页面内容的过程中利用格式溢出释放木马(例如:ani格式溢出漏洞) 7.在渲染页面内容的过程中利用格式溢出下载木马(例如:flash9.0.115的播放漏洞) 在完成下载之后,执行木马的方式1.利用页面元素渲染过程中的格式溢出执行shellcode进一步执行下载的木马 2.利用脚本运行的漏洞执行木马 3.伪装成缺失组件的安装包被浏览器自动执行 4.通过脚本调用com组件利用其漏洞执行木马。
5.利用页面元素渲染过程中的格式溢出直接执行木马。
6.利用com组件与外部其他程序通讯,通过其他程序启动木马(例如:realplayer10.5存在的播放列表溢出漏洞) 在与网马斗争的过程中,为了躲避杀毒软件的检测,一些网马还具有了以下行为: 1.修改系统时间,使杀毒软件失效 2.摘除杀毒软件的HOOK挂钩,使杀毒软件检测失效 3.修改杀毒软件病毒库,使之检测不到恶意代码。
4.通过溢出漏洞不直接执行恶意代码,而是执行一段调用脚本,以躲避杀毒软件对父进程的检测。
网页挂马的检测1.特征匹配。
将网页挂马的脚本按脚本病毒处理进行检测。
但是网页脚本变形方、加密方式比起传统的PE格式病毒更为多样,检测起来也更加困难。
2.主动防御。
当浏览器要做出某些动作时,做出提示,例如:下载了某插件的安装包,会提示是否运行,比如浏览器创建一个暴风影音播放器时,提示是否允许运行。
在多数情况下用户都会点击是,网页木马会因此得到执行。
3.检查父进程是否为浏览器。
这种方法可以很容易的被躲过且会对很多插件造成误报。
如何防止网页被挂马(1):对网友开放上传附件功能的网站一定要进行身份认证,并只允许信任的人使用上传程序。
(2):保证你所使用的程序及时的更新。
(3):不要在前台网页上加注后台管理程序登陆页面的链接。
(4):要时常备份数据库等重要文件,但不要把备份数据库放在程序默认的备份目录下。
(5):管理员的用户名和密码要有一定复杂性,不能过于简单。
(6):IIS中禁止写入和目录禁止执行的功能,二项功能组合,可以有效的防止ASP木马。
(7):可以在服务器、虚拟主机控制面板,设置执行权限选项中,直接将有上传权限的目录,取消ASP的运行权限。
(8):创建一个上传到网站根目录。
Robots能够有效的防范利用搜索引擎窃取信息的骇客。
点此查看使用方法。
对于网页被挂马 可以找下专业安全人士 建议找(Sine安全)及时的处理会避免因为网页被挂马造成的危害。
win10 1607更新失败 页面文件错误
先进入“控制面板”—“服务”,找到“Window Update”,右键停止该服务。
或参考以下经验条目。
48WIN 10 自动更新 安装失败怎么办?进入图示系统文件夹(路径打码处为个人用户名),删除该两个文件夹内文件。
系统的Windows Defender的开启需要没有其他防护类软件的安装存在,所以,首先暂且先卸载掉这些软件,常见的腾讯管家、360、金山毒霸、小红伞、卡巴斯基等等。
快捷键Win+I打开Windows设置,找到最后“更新和安全”,切换到“Windows Defender”,这时是可以开启的状态,“打开Window Defender”,在“更新”标签里点击“更新定义”即进入检查更新,不久后“病毒和间谍软件定义”显示为“最新”,而“主页”标签里则由黄色变为绿色的正常运行状态。
5再次进入系统设置—“更新和安全”,此次进入“Windows更新”,点击错误列表下的“重试”,经过一段时间检查后应可以正常逐个下载更新,下载完成后可按提示重启系统完成更新。
之后可再次安装所需防护类软件。
暂无评论内容