Fündig wurde ich im Supportforum von PayPal, der dortige Link auf ein PHP-Script führt leier ins leere, doch netter weise hat jemand diesen Code überarbeitet und als Anhang an seinen Post der Community zurück gegeben. Ich habe mir den Sourcecode geschnappt, den Code etwas bereinigt und auf PHP5 OOP-Standard umgebaut. Er ist nicht perfekt aber funktioniert problemlos! Wichtig ist hierbei, dass PHP in ein temporäres Verzeichnis schreiben darf und PHP mit OpenSSL-Funktionen ausgestattet ist. Das Verzeichnis ist nötig, da PayPal eine verschlüsselung der Daten fordert, welche eigentlich für die Verschlüsselung von Emails gedacht ist und die entsprechenden PHP-Funktionen also nur mit Dateien umgehen können. Sicherlich könnte man hier auch mit Streams arbeiten, dennoch funktioniert meine Version genauso gut.

Folgende Schritte sind für die verschlüsselten Zahlungsoptionen (Encrypted Website Payments (EWP)) nötig:

• Erstellen eines privaten und öffentlichen Schlüssels mit OpenSSL (1024bit)openssl genrsa -out my-privatekey.pem 1024
• Erstellen eines öffentliches Zertifikates mit dem privaten Schlüssel (Gültigkeit: 365 Tage)openssl req -new -key my-privatekey.pem -x509 -days 365 -out my-publiccert.pem
• Einloggen in den PayPal Business Account und unter Profil auf “Verschlüsselte Zahlungseinstellungen” klicken. Dort den öffentlichen Schlüssel hochladen und die generierte Zertifikat-ID notieren.
• Download des öffentlichen PayPal-Zertifikats und nun die eigenen beiden Zertifikate und das PayPal zertifikat an einen sicheren Ort, am besten ausserhalb des DocumentRoot des Webservers kopieren. Niemand darf zugriff auf den eigenen privaten Schlüssel bekommen!

Nun kann meine PHP-PayPal-EWP-Klasse (tolles Wort) von hier heruntergeladen werden. Dem Construcot der Klasse übergibt man 4 Parameter: Zertifikat-ID, den Pfad zum eigenen öffentlichen Schlüssel, den Pfad zum eigenen privaten Schlüssel und den Pfad zum öffentlichen PayPal-Zertifikat. Der anschließende Aufruf der Methode encryptButton() gibt den kompletten verschlüsselten Formulareintrag zurück, welcher in ein hidden-Feld geschrieben werden muss. Die encryptButton() Methode erwartet als Parameter ein Array mit den Optionen für PayPal. Dort muss die Email-Adresse des PayPal-Accounts, sowie die Währung und der Gesamtpreis übergeben werden. Der Rest ist optional, der Wert des cmd Feldes lautet standardmäßig “_xclick” für eine einfache Zahlung eines festen Betrags. Hier noch ein Codebeispiel für PHP und den HTML-Code:

<?php
require_once(‘class_paypal_ewp.php’);
$paypal_dir = ‘/pfad/zu/den/zertifikaten/’;
$paypal_url = ‘http://www.paypal.com’; // oder www.sandbox.paypal.com fuer Entwickler
$paypal_zertifikat_id = ‘abcdef’; // Zertifikat-ID von der PayPal Seite

$paypal = new PayPalEWP($paypal_zertifikat_id, $paypal_dir.’my-publickey.pem’, $paypal_dir.’my-privatekey.pem’, $paypal_dir.’paypal-cert.pem’);

$parameters = array(
‘cmd’ => ‘_xclick’,
‘business’ => ‘mein@paypalaccount.de’,
‘item_name’ => ‘Test Gegenstand’, // Name der Bestellung
‘amount’ => ’00.01′, // Wert
‘no_shipping’ => ’1′, // Keine Versandkosten
‘return’ => ‘http://www.beispiel.de/paypal_ok.php’, // URL fuer erfolgreiche Zahlung
‘cancel_return’ => ‘http://www.beispiel.de/paypal_cancel.php’, // URL fuer Zahlungsabbruch
‘no_note’ => ’1′, // Keine Notizen vom Kauefer moeglich
‘currency_code’ => ‘EUR’,
‘lc’ => ‘DE’,
‘rm’ => ’2′, // Der return-URL werden die Paramater als POST uebergeben
‘bn’ => ‘PP-BuyNowBF’,
‘custom’ => ‘Irgendwas was mitgeschickt werden soll’
);

$encrypted = $paypal->encryptButton($parameters);

?>

<html>
<head><title>PayPal Test</title></head>
<body>
<form action=”<?= $paypal_url ?>/cgi-bin/webscr” method=”post”>
<input type=”hidden” name=”cmd” value=”_s-xclick” />
<input type=”image” src=”https://www.paypal.com/de_DE/i/btn/x-click-but01.gif” border=”0″ name=”submit” alt=”Zahlen Sie mit PayPal – schnell, kostenlos und sicher!” />
<img alt=”" border=”0″ src=”https://www.paypal.com/de_DE/i/scr/pixel.gif” width=”1″ height=”1″>
<input type=”hidden” name=”encrypted” value=”<?= $encrypted ?>” />
</form>
</body>
</html>

Und schon ist der PayPal-Knopf auf der Seite und alle parameter sind verschlüsselt und können nur von PayPal entschlüsselt werden.

Bei meinen Tests vielen mir ein paar ungereimtheiten auf:

Nach der Rückleitung auf die eigene Seite nach einer erfolgreichen Bezahlung in der PayPal-Sandbox werden andere Variablen an die eigene Seite übermittelt, als dies auf dem Live-PayPal der Fall ist. Ausserdem werden die Variablen im Live-PayPal per GET, in der Sandbox per POST übermittelt. Davon steht nirgendwo etwas auf den PayPal-Seiten, also vorsicht bei der Entwicklung! Wenn der Kunde die Rückleitung auf die eigene Seite nicht zulässt oder abbricht, so kann die eigene Seite nicht feststellen, dass jemand gezahlt hat! Am besten ist es also, Web Payment Standard (siehe oben) mit IPN (Instant Payment Notification) zu verbinden, damit man von PayPal über eine URL vom Kauf informationen bekommt.

Im großen und ganzen finde ich die ganzen möglichkeiten bei PayPal sehr schwach und unzureichend dokumentiert, vorallem die Unterschiede mit der Sandbox. Aber vielleicht habe ich auch nur die falschen Quellen benutzt. Wenn jemand detaillierte Dokus hat, bitte melden !

Die Entwickler und ich empfehlen, sofern möglich, auf PHP 5.2 zu aktualisieren. Der 5er Zweigt bringt haufenweise Verbesserungen im OOP-Bereich sowie der Speicherverwaltung und anderer Bereiche. Die kommende Version 6 wird im OOP-Bereich nochmals einen Zahn zulegen und wird die erste PHP-Version, welche offiziell komplette mit UTF-8 zurecht kommt. Bisher sind hier leider oftmals Umwege über die mbstring-Funktionen nötig.

Und zum Abschluß noch eine durchaus wichtige Anmerkung: Wer einen eigenen Server betreibt und PHP selbst compiliert und installiert sollte stets darauf achten, immer die aktuellste PHP-Version zu verwenden. Das gefährlichste am Internet heutzutage sind nicht behobene Sicherheitslücken!