支付宝验签后的一个BUG,导致积分无法购买。

wzzjhc

昨天搞了5个小时，今天是4个小时。

api/payment/payment_alipay.php         
第88行      
openssl_free_key() 使用出错，导致即使验签通过，也无法继续执行。
openssl_free_key($public_key);
//$public_key是公钥字符串，不属于资源，而openssl_free_key()是用来释放资源的，所以在释放字符串的时候出现错误，我不知道这样子理解对不对。

unset($public_key);  //所以我把它改成unset来代替openssl_free_key() 。

这样子就不影响安全性，也能达到目的。

1 贡献

最佳答案

PS：根据描述，应该是PHP8产生的问题，因为PHP8不允许空值的限制越发严重了，所以未引入的资源或空资源释放报错了，在PHP7应该是没问题的

• 湖中沉
• 发表于2023-3-9 20:43:48
• 详细答案 >

湖中沉

$public_key是公钥，自然是属于密钥资源的一种啊……
openssl_free_key用于释放密钥资源，用法没毛病。

1. openssl_free_key(resource $key_identifier): void

复制代码

openssl_free_key() 从内存中释放和指定的 key_identifier相关联的密钥。

湖中沉

建议你通过支付宝开放平台 > 支持 > 技术支持 > 自助工具 > 云排查 访问并排查 异步通知问题排查 和 请求返回错误问题排查

wzzjhc

湖中沉 发表于 2023-3-9 12:57
建议你通过支付宝开放平台 > 支持 > 技术支持 > 自助工具 > 云排查 访问并排查 异步通知问题排查 和 请求返 ...

我是纯系统centos7，安装了宝塔，然后安装了dzx3.5，
php8 mysql 5.6
*******************
我后来没用unset()而是在释放资源前面把公钥列到资源里，再释放。
$public_key= openssl_pkey_get_public($public_key);//将公钥列入资源
   openssl_free_key($public_key);//释放资源公钥
*******************
这句openssl_free_key()即使没有的话，应该也无伤大雅吧。

wzzjhc

云排查也没有问题哦。
通知时间：2023-03-09 17:57:50
通知地址：http://www.域名.com/api/payment/notify/notify_alipay.php
通知内容： http://www.域名.com/api/payment/notify/notify_alipay.php?gmt_create=2023-03-09 17:57:43************
商户响应：http状态码: 200, 返回: success.
提示：成功

湖中沉

wzzjhc 发表于 2023-3-9 18:05
我是纯系统centos7，安装了宝塔，然后安装了dzx3.5，
php8 mysql 5.6
*******************

目前这个做法大致没问题，但正确的应该是补充openssl_get_publickey行为（你用的别名的也可以），然后用这个资源去做openssl_verify，问题就不大了

湖中沉

https://gitee.com/Discuz/DiscuzX/pulls/2037
提交了此PR，并实站测试：
从下到上，分别：
第一次：密钥模式（未修改前），自动成功
第二次：密钥模式（修改后），自动成功
第三次：证书模式（修改后），自动成功

暂未测试未修改前的证书模式

湖中沉

PS：根据描述，应该是PHP8产生的问题，因为PHP8不允许空值的限制越发严重了，所以未引入的资源或空资源释放报错了，在PHP7应该是没问题的