PayPal Pagamento di un servizio

[Alki]

Ciao a tutti,

mi sto documentando su come impostare un "paga subito" di paypal sul mio sito web.
Premetto che il mio sito web vende un servizio e non prodotti ma credo che la cosa non cambi.
Paypal nel suo tutorial ti dice come creare un FORM preformattato con determinati campi.
L utente paga e poi viene ridirezionato ad una certa pagina di ringraziamento residente sul mio sito.
Premetto che devo ancora mettermi in ballo a fare tutto questo procedimento (sicuramente sviluppero una bella classettina che poi magari metterò a disposizione a tutti gli utenti)

Domanda:
dato che il FORM è leggibile e modificabile da tutti, è possibile che un utente vada a modificare il capo del "prezzo" e che quindi va a pagare il "servizio" con un costo deciso da lui e non da me.
Dato che il mio sistema si aggiorna tramite i parametri passati dal link di redirezione, andrei a checkare un pagamento che fisicamente è stato fatto ma con un prezzo fissato dall utente.
Come posso ovviare a questa cosa?

Devo chiedervi anche una conferma:
Quando un utente effettua il pagamento, paypal verifica subito che l'utente ha disponibilità di liquidi e che quindi il pagamento avviene immediatamente oppure intercorre un certo periodo di tempo prima che paypal si accorga un eventuale indisponibilità di liquidi?
Grazie,
Alki

[Al_katraz984]

dato che il FORM è leggibile e modificabile da tutti, è possibile che un utente vada a modificare il capo del "prezzo" e che quindi va a pagare il "servizio" con un costo deciso da lui e non da me.

Xke il form è modificabile da tutti?? penso che se il prezzo lo fai vedere come semplice testo e lo passi, credo, con le sessioni e poi lo verifichi ad ogni checkout.. E' difficile sbagliare e anche modificare..

Per il fatto che paypal verifica se c'è disponibilità non te lo assicuro anche perchè comunque si appoggia alla carta di credito il pagamento e penso dipenda tutto dalle condizioni bancarie che uno ha.. se paypal riceve dalla banca l'ok per il pagamento il pagamento viene eseguito altrimenti no.. Vado per logica cmq non sono esperto in paypal..

[alcio74]

Per Al_katraz984

Xke il form è modificabile da tutti??

Se uno volesse, basterebbe aprire il codice sorgente della pagina che contiene la form, salvarlo sul proprio PC, puntare la action della form al percorso assoluto del sito e quindi modificare i parametri passati dalla form come meglio si crede.

Per Alki
Anche io userei le sessioni ed un token.
In buona sostanza, un codice alfanumerico che metti in un campo hidden della tua form e che salvi anche in una sessione.
Se la pagina è stata clonata e modificata, non esiste una sessione per quella pagina nel server, per cui nello script che riceve i dati passati da form, quando vai a fare il controllino del token passato dalla form e quello salvato nella sessione, quest'ultimo valore non esiste, per cui invalidi la transazione.

Naturalmente questo non è il solo controllo che devi fare (sto pensando che un session_regenerate_id() sarebbe molto utile in questo caso).

Ti mando il link (se mai ce ne fosse bisogno) alla Guida sicurezza di PHP, per farti un'idea di tutte le questioni che dovresti controllare per abbassare di molto il rischio di hacking della tua form.

[Al_katraz984]

Scusa ma continuo a non comprendere..

Se uno volesse, basterebbe aprire il codice sorgente della pagina che contiene la form, salvarlo sul proprio PC, puntare la action della form al percorso assoluto del sito e quindi modificare i parametri passati dalla form come meglio si crede.

Sarà che di solito sono abituato a programmare sapendo sempre o quasi cosa succede..

[alcio74]

Sarà che di solito sono abituato a programmare sapendo sempre o quasi cosa succede.

Beh..... in una programmazione di qualcosa che riguarda il commercio elettronico più o meno spinto, io tendo a non fidarmi di nulla o di nessuno.

Ci sono degli esempi di hacking veramente efficaci nella guida che ho linkato nel mio precedente post.
Alcuni sono così semplici ed efficaci che sarebbe da dare un oscar a chi se li è inventati!
Manco a dirlo, tutti si basano su procedure a rischio sottovalutate dal programmatore.

[Alki]

allora.
è da 3 giorni che cerco x il web e vi faccio il punto della situazione.
Prima di tutto Paypal col servizio IPN ti richiama un certo URL (credo definito da me quando l'utente clicca per andare a pagare) che ti informa quando i soldi sono fisicamente sul tuo conto.

Per quanto rigurada il form e i campi che qlk utente malevolo va a cambiare, credo che la cosa si può risolvere tramite socket, ma di questo mi devo ancora documentare.

Se fai una request via socket e stampi a video quello ke ti ritorna è come se fossi sul sito di paypal.
Tramite socket sei tu che passi direttamente a paypal i dati senza FORM; quindi il problema hacking è risolto..solo che non so se si può fare in questo modo.
Dobbiamo capire di più questa cosa!!!

[polinet]

Ciao, il tuo post e`molto interessante e ci sono post in merito a PAY PAL. (sempre in questo fantastico spazio forum)
Prima di tutto PAY PAL non funziona con carte di credito ma con coordinate bancarie.
Il pagamento se va a buon fine e' immediato.
Ulilizzo PAy PAl da moltissimo tempo e ti posso dire che e' un sistema ottimo che vanta 60 milioni di utenti nel mondo.
Per quello che dicevi del prezzo, che l'utente puo modificare, io la vedo cosi.
Stampalo a video senza possibilita di modifica, anche nella pagina che richiama il CHECKOUT fai in modo che l'utente non possa modificare nessuna query.

In PAYPAL .it hai un moderatore che rispondera' ad ogni tua domanda.

Ciao
Facci sapere!

[Alki]

Ciao,
ma a quanto so io ad un conto paypal puoi associare carte preagate(tipo postepay) o anche carte di credito..o erro?
Ricordo che una volta ho comprato su ebay con paypal (il mio conto è associato ad una postepay) quando ho pagato, mi è arrivata da paypal una mail con l'inoltro del pagamento e dopo pochi minuti un altra email con l informazione dell avvenuto pagamento..quindi un lasso di tempo c'è..
Devo indagare..

Vi farò sapere e magari posterò anche del codice cosi da dare una mano a chi ha problemi e dubbi

Alki.

[polinet]

Ciao ALKI,
Quello che dici tu e' verissimo, una carta prepagata come POSTPAY (visa electron) viene accettata in PAY PAL (attenzione solo per acquisti in italia).

Non so se sei entrato nel forum "Loro", iscriviti e ti ripeto, avrai tutte le informazioni che desideri.

Facci sapere.

[serdominik]

Ciao ho letto questa discussione ed è molto interessante. Visto che per un cliente devo associare il pagamento di pay pal sul suo e-commerce.

Io nel mio sistema e-commerce oltre a prevedere sistemi di pagamento non online ho utilizzato banca sella che per dire la verità funziona con dei codici gli OTP
per esempio io non do mai la possibilità di salvare il prezzo tramite form ma associo controlli php quindi nascosti. utilizzo le sessioni nel memorizzare i prodotti del carrello e il prezzo.

Non dico che il sistema è sucurissimo però la transazione sul mio e-commerce funziona così ricevo i soldi qualsiasi tipo di pagamento cotrollo se li ho ricevuti tutti e poi evado l'ordine dal mio pannello amministrativo del sito e provvedo poi a inviare la merce via corriere o posta celere o ecc....

Voglio Capire come funziona il sistema di pagamento di pay pal se simile a banca sella o altro c'è bisogno di qualche codice OTP ?