Ragazzi avete ragione, ho appena simulato una azione illecita facendo finta di spiare il codice html della pagina e copiando il form. Sono riuscito a mettere il prezzo che volevo all' articolo preso come campione. Adesso faccio come mi avete detto , ad ogni passo richiamo il database degli articoli e confronto il codice prodotto e il prezzo passati entrambi con il metodo POST.
e usare direttamente quello nel db no?Originariamente inviato da Mgbyte78
ad ogni passo richiamo il database degli articoli e confronto il codice prodotto e il prezzo passati entrambi con il metodo POST.
In che senso usare direttamente quello nel database?
Comunque ho risolto così: in pratica solo nella pagina che si occupa di inserire i prodotti nel carrello, per ogni variabile post ho fatto il confronto con il rispettivo campo nel database, il codice, la descrizione prodotto e il prezzo, la quantità non l'ho tenuta in considerazione.
Se hai abbastanza esperienza, potresti integrare anche ajax per l'inserimento del prodotto nel DB.
Ovviamente ad ogni richiesta d'inserimento (Tramite l'ID), salverai nel DB che l'utente provvisorio ASD23SF2JK ($rand=strtoupper(substr(md5(time()+3600),0,10)) ) ha messo nel carrello il prodotto con ID 2
Poi nella visualizzazione del carrello, fai una query che interroga il carrello, dove l'utente è ASD23SF2JK e ti esci fuori tutti i prodotti ad esso associati, che non sono ancora stati acquistati (stato=0)
Spero di essere stato chiaro
Tu le informazioni su prezzo, descrizione, etc, non le devi prendere dai dati che ti passa l'utente.Originariamente inviato da Mgbyte78
In che senso usare direttamente quello nel database?
Comunque ho risolto così: in pratica solo nella pagina che si occupa di inserire i prodotti nel carrello, per ogni variabile post ho fatto il confronto con il rispettivo campo nel database, il codice, la descrizione prodotto e il prezzo, la quantità non l'ho tenuta in considerazione.
A te interessa sapere solo l'ID del prodotto che il cliente sta comprando e la QUANTITA' che desidera acquistare. Tutte le altre informazioni (prezzo, reale disponibilità di quella quantità) le devi predendere dal tuo DB (elenco dei prodotti) in relazione all'ID del prodotto che il cliente sta acquistando.
Mai e poi mai lasciare che sia l'utente a fornirti le informazioni sul prezzo o altri dati sensibili per l'ecommerce.
Administrator of NAMDesign.Net
Ma infatti io confronto i dati dell'articolo passati dal form con quelli del database, e solo se coincidono faccio proseguire l'ordine altrimenti blocco tutto, resetto il carrello e lo reindirizzo alla home page.
Il database lo interrogo passando l'ID del prodotto e verifico se l'articolo richiesto dal cliente esiste nel database e quindi ipotizzando un movimento illecito (utilizzando un form fittizio) verifico se il codice, la descrizione e il prezzo coincidono effettivamente con quelli inseriti nel database
Per quanto riguarda la disponibilità del prodotto creo un'altra query e verifico se la quantità richiesta dall' utente è <= a quella effettivamente disponibile. Poi creo due Array, il primo contiente i prodotti che sono disponibili (che verranno inseriti nella tabella ordini) e il secondo gli eventuali prodotti mancanti e stampo a video il risultato. Alla fine lascio decidere all'utente se proseguire per il pagamento o svuotare il carrello tornando alla home.
scusami ed allora questa situazione come farebbe a verificarsi?Ma infatti io confronto i dati dell'articolo passati dal form con quelli del database, e solo se coincidono faccio proseguire l'ordine altrimenti blocco tutto, resetto il carrello e lo reindirizzo alla home page.
Originariamente inviato da Mgbyte78
Ragazzi avete ragione, ho appena simulato una azione illecita facendo finta di spiare il codice html della pagina e copiando il form. Sono riuscito a mettere il prezzo che volevo all' articolo preso come campione. Adesso faccio come mi avete detto , ad ogni passo richiamo il database degli articoli e confronto il codice prodotto e il prezzo passati entrambi con il metodo POST.
Administrator of NAMDesign.Net
Ma infatti si verificava prima , ma dopo grazie al messaggio di Samleo ho poi creato uno script di controllo ed ora non si verifica più.
Piuttosto, ora che ho quasi terminato il tutto, mi sorge un dubbio.
Mettiamo il caso che un utente acquista 2 articoli di cui la disponibilità in magazzino è proprio di 2 pezzi e che arriva alla pagina riepilogativa dove tra l'altro faccio fare il controllo della disponibilità effettiva degli articoli confrontando la quantità richiesta con quella reale nel database.
A questo punto l'utente che si trova nella pagina riepilogativa, deve cliccare sul tasto ACQUISTA per visualizzare il tasto di pagamento di paypal e automaticamente viene inserito l'ordine nel database.
Mettiamo il caso però che l'utente si addormenta sulla pagina di riepilogo( dove il controllo delle giacenze è già avvenuto ma non sono stati ancora scalati nel database) ed un secondo utente fa prima di lui e acquista gli ultimi due prodotti, entrambi riusciranno a fare l'ordine ma in realtà il primo utente rimarrà senza gli articoli.
Come posso fare?
Mi rispondo forse da solo:
Ho pensato che una soluzione possa essere far puntare di nuovo sulla pagina riepilogativa dove c'è il tasto ACQUISTA invece di aprire un'altra pagina per trovare il pulsante di paypal, in questo modo nel momento in cui clicco su ACQUISTA (ma ancora non ho pagato) rifaccio il controllo delle giacenze(in quanto ricarico la stessa pagina dove ho effettuato il controllo nella fase di riepilogo), se è tutto ok scalo i prodotti che devono essere acquistati e faccio comparire il tasto di paypal per pagare.
In questo modo dovrei risolvere il problema perchè l'ultimo controllo avviene proprio nel momento di acquisto e non solo di riepilogo come avevo fatto in precedenza.
L'unico problema è che se poi alla fine il cliente non paga e chiude la pagina, mi trovo con i prodotti con giacenze scalate e dovrò io poi vedendo che l'ordine non viene pià pagato reinserire il giusto numero.
Se c'è una soluzione migliore sono tutto orecchie ........
Permessi di invio
Rispondi quotando