首先我们要知道C2C平台的标准。

所以的C2C，就是用户对用户在统一的网络里进行交易的模式。

很多PHP开发人员都肯定会接触过B2C平台的开发。

而且电子商城无非就这么几个要求。

1、可以上传产品，给用户选择；

2、用户可以查看自己的交易信息；

3、存在交易流程。

C2C难在哪？没错，每个来购买产品的人，他也可以自己开一个小网店。

由于多个用户收款及产品数据的不同，需要区分不同的用户上传的产品表和收款帐号。然后交易的时候，根据当前用户填写的支付帐号信息，进行交易。

最大的问题点来了，资金的对转要如何实现？

以前有大概听说过，如果要申请银行方向的支付接口，资金起码也是得上百万级别。

为什么这么难？

假设运营商的平台和银行有接口对接，用户在网站平台购买东西，实际钱第一步是到了网站的运营商帐户里，然后模拟淘宝之类的，用户确认收货之后，利用API请求银行进行资金转入到店家帐户上。所以一般的企业公司根本没办法实现该要求。

更难的还有一个就是请求资金转出的数据加密类型了，有做过PHP各大支付API接口开发都能知道数据泄密对网站造成的影响，居然谈到了数据安全，作者就再详解下做电子商城网站开发支付接口的一个最大问题。

不管支付宝、京东支付还是腾讯支付等各大国内收款第三方。都有企业级及个人级的收款（所谓企业级就是资金可以马上到帐，个人级就是由第三方暂扣资金XX天）

不管哪个级别，直接请求的时候，都是对数据进行MD5加密之后附加加密前的参数进行申请收款，当然，这就需要用户在第三收款方申请的KEY（简称密钥），而且是加密过后的参数，如果一旦泄露这些参数，攻击者可以利用这些数据，模拟交易请求

因为每次只要交易完成或者未支付，第三方平台都会有数据返回给网站，就是通过KEY等组合起来的参数。

如果攻击者得到了第三方的KEY，因为接口模式是公开的SDK/API，可以轻松利用组合模拟订单的交易状态，从而实现不花钱，订单全部是已付款状态。