La tua risposta mi apre un mondo. Non avevo capito un bel nulla. Vediamo se ho capito ora:
1. Ho un solo prodotto da vendere che costa X euro.
2. Il totale ordine è X euro, il codice ordine è un codice che genero io come voglio?
3. Li memorizzo in sessione perchè? Non serve a setefi o sbaglio? Serve solo a me per quando setefi mi manda la risposta.
4. Li invio via POST al buy.php che rimanda al portale setefi.
5. Setefi, su server sicuro chiede i dati sensibili (che io giustamente non avrò mai) preleva il denaro e mi manda la risposta (supponiamo di ok).
6. Il notify.php interpreta il responsecode e io posso usare i dati in sessione per registrarmi l'esito della transazione che comunque posso verificare sempre sul pannello setefi.

Ho detto cavolate. Se è così perdonami e grazie per il grande aiuto.