支付寶驗簽后的一個BUG,導致積分無法購買。

wzzjhc

昨天搞了5個小時，今天是4個小時。

api/payment/payment_alipay.php         
第88行      
openssl_free_key() 使用出錯，導致即使驗簽通過，也無法繼續執行。
openssl_free_key($public_key);
//$public_key是公鑰字符串，不屬于資源，而openssl_free_key()是用來釋放資源的，所以在釋放字符串的時候出現錯誤，我不知道這樣子理解對不對。

unset($public_key);  //所以我把它改成unset來代替openssl_free_key() 。

這樣子就不影響安全性，也能達到目的。

1 貢獻

最佳答案

PS：根據描述，應該是PHP8產生的問題，因為PHP8不允許空值的限制越發嚴重了，所以未引入的資源或空資源釋放報錯了，在PHP7應該是沒問題的

• 湖中沉
• 發表于2023-3-9 20:43:48
• 詳細答案 >

湖中沉

$public_key是公鑰，自然是屬于密鑰資源的一種啊……
openssl_free_key用于釋放密鑰資源，用法沒毛病。

1. openssl_free_key(resource $key_identifier): void

復制代碼

openssl_free_key() 從內存中釋放和指定的 key_identifier相關聯的密鑰。

湖中沉

建議你通過支付寶開放平臺 > 支持 > 技術支持 > 自助工具 > 云排查 訪問并排查 異步通知問題排查 和 請求返回錯誤問題排查

wzzjhc

湖中沉 發表于 2023-3-9 12:57
建議你通過支付寶開放平臺 > 支持 > 技術支持 > 自助工具 > 云排查 訪問并排查 異步通知問題排查 和 請求返 ...

我是純系統centos7，安裝了寶塔，然后安裝了dzx3.5，
php8 mysql 5.6
*******************
我后來沒用unset()而是在釋放資源前面把公鑰列到資源里，再釋放。
$public_key= openssl_pkey_get_public($public_key);//將公鑰列入資源
   openssl_free_key($public_key);//釋放資源公鑰
*******************
這句openssl_free_key()即使沒有的話，應該也無傷大雅吧。

wzzjhc

云排查也沒有問題哦。
通知時間：2023-03-09 17:57:50
通知地址：http://www.域名.com/api/payment/notify/notify_alipay.php
通知內容： http://www.域名.com/api/payment/notify/notify_alipay.php?gmt_create=2023-03-09 17:57:43************
商戶響應：http狀態碼: 200, 返回: success.
提示：成功

湖中沉

wzzjhc 發表于 2023-3-9 18:05
我是純系統centos7，安裝了寶塔，然后安裝了dzx3.5，
php8 mysql 5.6
*******************

目前這個做法大致沒問題，但正確的應該是補充openssl_get_publickey行為（你用的別名的也可以），然后用這個資源去做openssl_verify，問題就不大了

湖中沉

https://gitee.com/Discuz/DiscuzX/pulls/2037
提交了此PR，并實站測試：
從下到上，分別：
第一次：密鑰模式（未修改前），自動成功
第二次：密鑰模式（修改后），自動成功
第三次：證書模式（修改后），自動成功

暫未測試未修改前的證書模式

湖中沉

PS：根據描述，應該是PHP8產生的問題，因為PHP8不允許空值的限制越發嚴重了，所以未引入的資源或空資源釋放報錯了，在PHP7應該是沒問題的