Ma è obbligatorio SSL?
non posso creare un file php per il controllo dati e submit form paypal senza SSL?
se faccio il controllo lato php è sicuro...
Ma è obbligatorio SSL?
non posso creare un file php per il controllo dati e submit form paypal senza SSL?
se faccio il controllo lato php è sicuro...
Scusate la domanda (mai usato paypal), ma una volta che il tizio ha pagato su pp non dovresti ricevere una notifica IPN di avvenuto pagamento? e non dovrebbe contenere anche quanto è stato pagato?
Basterebbe confrontare quel valore con l'effettivo costo dell' acquisto, o no?
Ultima modifica di boots; 23-12-2014 a 12:14
Si,
arrivano le notifiche Paypal ma il mio discorso è se si poteva rendere più sicuro gli importi per evitare modifiche.
La sicurezza non è mai troppa
Durante gli acquisti terrai in sessione un carrello e da quello puoi sapere l'importo totale, giusto?
Dal form di conferma di acquisto ti arrivano i dati definitivi con l'importo totale, bene confronti l'importo totale che arriva dal form con quello che hai in sessione, se coincidono procedi con la transazione, altrimenti blocchi tutto.
Dove nascono secondo te gli altri problemi di sicurezza?
Ma se controlli dopo che il pagamento è stato fatto, non sei altrettanto sicuro ?
Paypal richiede una richiesta POST e, che io sappia, non puoi fare un "redirect" da php con dati post (a meno di scomodare javascript, ma a qual punto saresti punto e a capo).
Il metodo suggerito da Alhazred, per me, potrebbe causarti qualche problema:
1. Se PP usa path relativi, non funzionerà nulla (perchè rimani sul tuo dominio)
2. Se usa path assoluti dovrebbe andare, ma forse ti bloccherà la navigazione/fruizione (visto che la prima richiesta è partita dal server, ma poi continui da browser)
Ultima modifica di boots; 23-12-2014 a 13:12
La mia idea è di lasciare gli input hidden nel form ma inserisco come action un mio file php dove faccio un controllo delle variabili (totale, prezzo prodotto ecc) se sono corrette o meno.
Se corrette aziono il form con action di paypal. Forse lo faccio con php e ajax.
Può andare secondo voi?
In quel modo puoi inviare un array post a qualsiasi servizio, poi se è vero quanto dice boots non lo so, non ho mai usato PayPal.
Ho provato a seguire la guida di Fczaja, http://fczaja.blogspot.it/2011/07/ph...uest-with.html, ma non funziona.
- Nel form ho sostituito l'action con il mio file php contenente lo script.
- Ho definito solo qualche variabile ($params) per prova.
- Ho sostituito http://www.sample-post-page.com con url action di paypal.
Non ho ottenuto niente, nessun reindirizzamento a Paypal.
Dove ho sbagliato?
Come ho detto non ho mai usato paypal, quindi non son sicuro al 100% che non funzionerebbe.
Il dubbio mi viene perchè semplicemente prendi(lato server) l'output del servizio PP e la mostri all'utente (rimanendo nel dominio del sito ecommerce). Quindi niente cookie e/o sessioni e visto che devi procedere al pagamento (da browser, senza poter passare di nuovo dal server) mi viene il sospetto che qualcosa non funzionerà (anche perchè poi le successive richieste a paypal verranno anche da un ip diverso).
Io, cmq, non mi preoccuperei troppo della modifica dei dati hidden. Alla fine, prima di spedire la merce verificherai di aver ricevuto il giusto compenso, no?
Se proprio vuoi essere pignolo, come ti ho detto, alla risposta IPN di paypal, fai un ulteriore controllo se quel che è stato pagato corrisponde.
...con file_get_contents direi che è molto difficile avere un redirect in questo caso; vorrei sottolineare che in alcuni server è addirittura disabilitata questa funzione per uscire.
nel caso specifico l'action del form verso pp, come ha suggerito qualcuno potrebbe essere anche con una validazione via ajax o con una generazione di una serie header per passarti i post
Skull of a Skeleton with Burning Cigarette
Angarat quante minchiate spari con un litro? Così mi regolo...
Permessi di invio
Rispondi quotando