付费|Paid HuoNiu 易支付 EasyPay 插件 2.1.7

适配最新XF 版本 及 易支付源代码版本

修复

• 移除不存在的两个回调状态常量的使用，非成功状态改为记录 info 日志
• 支付跳转表单的 XF 标签会自动注入 CSRF Token 导致易支付验签失败，改为普通 HTML 表单标签
• 多支付类型下预签名在用户切换类型后失效；重构为提交至内部路由，由后端用实际选择的类型重新签名后再跳转
• 命名空间下 catch 缺少 \ 前缀导致捕获不存在的类，异常直接逃逸；改为捕获 \Throwable
• 回调控制器顶层 catch 无法捕获 PHP 8 的 Error 对象；全部改为捕获 \Throwable
• 签名生成未过滤 null 值及数组类型值，与易支付服务端行为不一致；已补充过滤
• 回调查找实体类名错误（配置实体 → 提供商实体）
• 回调处理移除不存在的方法调用，改为 XF 标准验证调用链
• 新增方法在签名前剔除 XF 内部参数，避免污染签名
• 回调数据获取从原始请求体方法（返回字符串）改为兼容 GET/POST 两种方式的参数合并

兼容性更新

安全性增强/优化​

1.​

• ✅ 添加了输入验证防止 XSS 攻击（所有用户输入都经过严格过滤）
• ✅ 使用 XenForo 实体管理器防止 SQL 注入
• ✅ 实现常量时间比较防止时序攻击
• ✅ 添加支付金额验证（最小 0.01，最大 1,000,000）
• ✅ 改进 CSRF 保护（回调接口免 CSRF，其他接口需要）
• ✅ 增强签名验证安全性（支持 MD5 和 RSA）
• ✅ 添加开放重定向防护
• ✅ 改进错误处理避免信息泄露

2.​

• ✅ 添加配置缓存减少重复查询 XF:😱ptions()
• ✅ 优化数据库查询（使用批量操作、参数化查询）
• ✅ 改进字符串处理减少内存分配
• ✅ 优化循环逻辑提高效率
• ✅ 使用 INSERT ... ON DUPLICATE KEY UPDATE 提高安装性能

3.​

• ✅ 符合 PSR 编码规范
• ✅ 添加完整的 PHPDoc 注释
• ✅ 使用类型提示提高代码健壮性
• ✅ 支持 PHP 8.0+ 语法
• ✅ 符合 XenForo 开发规范

4.​

• ✅ 移除冗余代码和未使用的方法
• ✅ 统一命名规范
• ✅ 改进代码结构和可读性
• ✅ 添加详细的文档注释
• ✅ 优化方法组织和职责分离

5.​

• ✅ 清晰的代码结构
• ✅ 完善的错误日志记录
• ✅ 详细的 PHPDoc 文档
• ✅ 模块化设计便于扩展
• ✅ 统一的错误处理机制

6.​

• ✅ 改进错误消息提供更明确的提示
• ✅ 添加详细的安全审计日志
• ✅ 优化回调处理流程
• ✅ 增强验证反馈信息
• ✅ 改进异常处理用户友好

📁 修改的文件​

1. epay_callback.php - 安全性增强、错误处理改进
2. Setup.php - 性能优化、代码规范
3. Payment/EasyPay.php - 全面优化（安全、性能、规范）
4. Pub/Controller/Callback.php - 安全性、用户体验
5. Pub/Controller/Payment.php - 输入验证、错误处理

Version 2.1.4 (2025-10-05)
=========================
[修复]
- 修复微信/QQ钱包/银行卡支付回调 MD5 签名校验失败问题
- 对齐服务端 EpayCore 签名规则（纯 MD5，不加 &key=）
- 移除 sitename 字段参与签名避免不匹配
- money 金额使用原始字符串格式而非强制两位小数

[优化]
- 增强 V1 签名调试日志输出
- 统一发起请求与回调验证的签名逻辑
- 提升不同支付渠道的兼容性

[技术细节]
- V2 (RSA) 接口不受影响
- 支持的渠道：支付宝、微信、QQ钱包、云闪付/银行卡

🛠️ 修复: 解决插件重复安装时的数据库冲突问题
🛠️ 修复: 修正 phrases.xml 中的重复短语定义
✨ 改进: 增强安装逻辑，自动处理重复数据清理
✨ 改进: 添加预安装数据清理机制
📋 优化: 使用 INSERT IGNORE 避免重复键异常

HuoNiu EasyPay v2.1.2 更新内容：

• ✅ 修复 XenForo 安装验证错误
• ✅ 完善 V2 RSA 接口支持和配置指导
• ✅ 优化用户界面提示和帮助文档
• ✅ 提升配置流程的用户体验
• ✅ 更新安全最佳实践说明

新增V2接口，建议使用新版！