[PHP] sempre sul passaggio protetto dei dati

[delpho]

Buongiorno,
sono sempre più nel ...
Devo consegnare il software e questa cosa di poter modificare i parametri mi ha scombussolato.
Ho risolto il problema della barra URL dove non faccio più vedere i valori, ma....
ho dei bottoni PAYPAL per il pagamento ed ho inserito, pari pari, il loro codice.
Con Ispeziona sul bottone compare bello bello il codice modificabile :

codice HTML:

 <form action="https://www.paypal.com/cgi-bin/webscr" method="post" target="_top">  
              <input type="hidden" name="cmd" value="_xclick"> 
             <input type="hidden" name="business" value="xxxxxxxxxxxxx">
             <input type="hidden" name="shipping" value="0,00">
             <input type="hidden" name="invoice" value="224">
             <input type="hidden" name="item_name" value="Ordine n.224">
             <input type="hidden" name="currency_code" value="EUR">
             <input type="hidden" name="amount" value="27.54">
             <input type="hidden" name="return" value="https://www.flynetwork.eu/php/pagaordpal.php?importo=27.54">
             <input type="hidden" name="cancel_return" value="https://www.flynetwork.eu/ampleadmin/pagaerrord.php">
             <!--input type="hidden" name="cancel_return" value="https://www.help4all.eu/ampleadmin/pagaerrord.php"-->
             <input type="hidden" name="rm" value="2">
             <input type="hidden" name="lc" value="IT">
             <input type="image" src="https://www.paypalobjects.com/it_IT/IT/i/btn/btn_buynow_SM.gif" border="0" name="submit" alt="PayPal è il metodo rapido e sicuro per pagare e farsi pagare online.">
              <img alt="" border="0" src="https://www.paypalobjects.com/it_IT/i/scr/pixel.gif" width="1" height="1">

come posso 'oscurare' questi dati?

Pls help me.

[delpho]

Please help me!!!

[delpho]

Accidenti, domani ho la consegna e nessuno mi ha saputo aiutare.

[Vincent.Zeno]

i dati del form PP non sono oscurabili.
la connessione col server è protetta, dovrebbe bastarti

temi che il cliente li modifichi? che importa... tanto paga lui!
temi che trucchi l'ordine e paghi di meno? allora vuol dire che hai progettato male la procedura di ordine e pagamento.
dopo che PP riceve il pagamento ti restituisce chi ha pagato, cosa e quanto. non ti basta?
alla risposta di PP confronti i dati, se tutto è conforme procedi come previsto. altrimenti metti l'ordine in stato di verifica.

questa riga a che serve?

codice:

<inputtype="hidden"name="return"value="https://www.flynetwork.eu/php/pagaordpal.php?importo=27.54">

la pagina di ritorno non deve contenere variabili get o post: non deve poter esser gestita da un client

[delpho]

Accidenti mi hai smontato tutto.
Però in questo modo io controllo subito se quanto mi aspetto è quanto ha pagato!
Dici che non va bene?
Mi suggerisci come fare in altro modo?
Te ne sarei grato!

[Vincent.Zeno]

e da dove controlleresti "quanto ha pagato" se non dalla REALE risposta di PP?
da un valore in chiaro in una querystring?

PP ti dice tutto quello che vuoi sapere: chi, cosa, quanto (e altre cosette se ti interessano). ma sopratutto (chi/cosa/quanto) sono le fondamentali che devi conosce. tieni anche in considerazione che "CHI" potrebbe essere diverso dal tuo acquirente (ad esempio il mio account PP ha una mail che non uso per registrarmi sui siti dove acquisto).

quindi, fondamentalmente, di ritorno avrai:
ID della transazione
ID dell'ordine
importo versato
chi ha versato

a te interessa sapere sopratutto: l'ordine a cui assegnare il pagamento, e che l'importo sia corretto.
il resto va da se.

se hai domande chiedi pure

[delpho]

e da dove controlleresti "quanto ha pagato" se non dalla REALE risposta di PP?
da un valore in chiaro in una querystring?

PP ti dice tutto quello che vuoi sapere: chi, cosa, quanto (e altre cosette se ti interessano). ma sopratutto (chi/cosa/quanto) sono le fondamentali che devi conosce. tieni anche in considerazione che "CHI" potrebbe essere diverso dal tuo acquirente (ad esempio il mio account PP ha una mail che non uso per registrarmi sui siti dove acquisto).

quindi, fondamentalmente, di ritorno avrai:
ID della transazione
ID dell'ordine
importo versato
chi ha versato

a te interessa sapere sopratutto: l'ordine a cui assegnare il pagamento, e che l'importo sia corretto.
il resto va da se.

se hai domande chiedi pure

SI, via API mi arrivano tutti i dati in effetti.
Posso confrontare tutto da la; avevo scelto quella soluzione da nubbio per fare delle elaborazioni in tempo reale e non batch.
Farò le cose in due momenti separati.
Grazie se mi incarto posso disturbarti?

[Vincent.Zeno]

l'elaborazione puoi farla in tempo reale, i dati arrivano e li confronti.
ma è bene, specie se l'ordine è complesso, registrare comunque i dati in arrivo: puoi avere bisogno in futuro.

come ho detto prima... se hai domande chiedi pure

[delpho]

l'elaborazione puoi farla in tempo reale, i dati arrivano e li confronti.
ma è bene, specie se l'ordine è complesso, registrare comunque i dati in arrivo: puoi avere bisogno in futuro.

come ho detto prima... se hai domande chiedi pure

Ho provato, purtroppo l'inserimento nel Database (via IPN) arriva circa con 2 minuti di ritardo.
Non è immediato e quindi quando lui chiude la transazione di PayPal lanciando la pagina (ho tolto il passaggio parametri) per l'elaborazione interrogo la tabella TRANSACTIONS per recuperare i dati ma la trovo vuota.
Dopo circa 2 minuti mi scrive il record con i dati giusti dentro TRANSACTIONS .... ma per me è tardi.
Quindi dovrei mettere l'ordine in 'pending' e poi come attivo il controllo? Lo dovrebbe fare l'utente...
SOno un po confuso....
(oppure i dati sono immediatamente disponibili ma non so come pescarli?)

[Vincent.Zeno]

per definizione i dati sono serviti all'istante. ciò non toglie che potrebbe esserci un coda lunga e quindi si deve attendere. in questo caso, come giustamente hai detto, mettilo in lavorazione.

non ho capito cosa intendi per "utente che attiva il controllo".