e-commerce e download

[omda71]

Ciao, volevo chiedervi a grandi linee come si fa a fare una cosa del genere: un e-commerce con pagamento con carta di credito che, una volta pagato, consenta il download di files mp3.
Ho già fatto degli e-commerce dove, quando il titolare del sito vedeva che il cliente aveva pagato spediva fisicamente la merce, qui invece come faccio a sapere immediatamente che il pagamento è andato a buon fine? C'è un modo per cui, una volta collegati al sito della banca per inserire i numeri di carta di credito, si ritorni al sito per il download con l'ok della banca?

Grazie - ciao

[Andrea1979]

Ti dovrai appoggiare ad un qualche servizio professionale (in italia c'è bancasella, paypal e forse qualcos'altro - prova a googlare). Trovi i dettagli di come implementare il tutto sui rispettivi siti. OSCommerce se non sbaglio offre addirittura un modulo già pronto per i pagamenti tramite carta di credito via bancasella:

http://www.oscommerce.com/community/...ns,3314/page,3

[omda71]

quello che non capisco è: una volta pagato per es. con carta di credito nella videata del sito della banca, dove mando tramite form per es. importo e numero d'ordine, dopo, la banca mi rimanda una variabile al mio sito con la quale dice se il pagamento è andato a buon fine?
In pratica, come faccio a sapere se il cliente a pagato subito dopo che lui l'ha fatto e quindi permettergli il download?
Grazie - ciao

[superpelo]

Hai trovato una soluzione con paypal? anche io sono interessato al problema.

[thitan]

Originariamente inviato da superpelo
Hai trovato una soluzione con paypal? anche io sono interessato al problema.

con paypal, tu gli dai un'indirizzo (e volendo delle variabili in get) alla quale verrà reindirizzato il browser se il pagamento è a buon fine, quindi non è difficile
per bancasella non saprei, mai avuto a che fare

il problema, nel caso del download, è il 'nascondere i file'.

cioè ad esempio, se uno ti compra il file pippo.mp3, e gli parte il download del file www.tuosito.it/files/pippo.mp3, sapendo l'url della directory può per tentativi scaricarsi tutti i file contenuti.

[superpelo]

Il problema, più che essere relativo alla protezione dei file (.htaccess, script php che sovrintende il download) è relativo alla sicurezza di paypal.

Mi spiego meglio: se io mi affido solo al link di ritorno per verificare se il pagamento è andato a buon fine, il cracking del sistema è banale e, potenzialmente, potrei scaricare tutto quello che voglio da un sito di questo tipo senza effettuare alcun pagamento.

Mi basta vedere il codice HTML del bottone di paypal, recuperare i dati che tu gli passi come variabili di GET, andare alla pagina che tu hai definito come essere quella di ritorno e passarle in GET i dati che ho recuperato dal codice: senza passare da paypal, quindi senza pagare, il server pensa che il pagamento sia andato a buon fine e mi fa scaricare quello che DOVREI aver pagato.

Non ti pare?

WorldPay so che usa una password di controllo mentre BancaSella usa un controllo con password usa e getta (se non ricordo male).

PayPal ha qualcosa del genere?