[RESOLU] validation de commande sans paiement Options

[gotcha5832]

Dite moi j'ai un petite question.
Je viens de me rendre compte qu'il était possible de valider sa commande (en temp que clients), sans payer.
depuis checkout_confirmation.php
il suffit de rentrer
checkout_process.php
et hop checkout_success.php et mail de confirmation
J'ai fais un test sur la boutique de démo, et c'est pareil.

Je suppose que c'est quelque que chose de connu, mais je viens de le découvrir.

Et à vrai dire, il suffit de vérifier pour chacune des commande que l'on as bien un paiement, mais bon c'est pas top.
Existe t il une solution?
J'ai bien pensé à quelque chose, ne travaillant qu'avec un seul partenaire de paiment, je pourrais controler le referer

Merci à vous.

Ce message a été modifié par gotcha5832 - 17 Jul 2010, 11:08.

[Juliettta]

Bonjour,

Je viens de tester ce que tu effectivement cela fonctionne.
Mais pour ma part je ne vois pas où se trouve le problème; mes clients paient par paypal le statut reste bien en preparing IPN et pour le reste virement ou chèque le paiement est en attente donc cela change pas grand chose s'ils n'envoie pas leur paiement, tu n'envoie pas la marchandise...
A moins que quelques choses m'est échapper quel est le problème??

[gotcha5832]

Bah disons je trouve gênant le faite que mon admin puisse me dire que j'ai une commande.

Bien évidemment si on as 2 commande par semaines on vérifie le paiement pour chaque.
Mais avec un certain volume il puisse y avoir un risque de l'expédiez, ou bien alors il faut allez sur ca plateforme de paiement pour suivre ses commande, mais bon...

[Gnidhal]

Je ne vois pas le problème.
Quand le checkout_process est appelé et qu'il valide la commande, c'est qu'on a choisi le mode de paiement, sinon ça bute sur le checkout_paiement.
Quel que soit le mode de paiement, le commerçant qui livre sans avoir vérifié qu'il avait été payé est une quiche!
S'il s'agit d'un paiement différé (chèque mandat, virement...) on attend le paiement
S'il s'agit d'un paiement par PayPal on attend le mail de confirmation de Paypal
S'il s'agit d'un paiement par CB via la banque, on vérifie sur son interface de la banque que le paiement est valide.

Dans TOUS les cas, on contrôle qu'on a été payé avant de livrer.

Cela dit, avec un mode de paiement par CB, ton astuce ne fonctionne pas! Quand on est sur checkout_confirmation.php, seul le site de la banque peut valider le checkout_process.php
Mais si le problème te perturbe tant que ça, tu peux renommer le ficher checkout_process.php qui n'est de toutes manières jamais affiché dans la page du navigateur.
Donc là, si tes clients jouent au petit malin, ils auront un beau 404! Mais c'est vraiment du temps perdu car le bouton de validation de la page renvoie vers le process uniquement pour les paiement différés pas pour les paiements par CB pour lequel le process refusera la validation si ce n'est pas la banque qui valide!

[gotcha5832]

Merci vieux sage,
Mais qu'entend tu par:

[..]
Cela dit, avec un mode de paiement par CB, ton astuce ne fonctionne pas! Quand on est sur checkout_confirmation.php, seul le site de la banque peut valider le checkout_process.php [/b]
[...]

Car chez moi je n'accepte que les paiements par carte via klik an pay.
et si depuis checkout_confirmation.php je rentre checkout_process.php je valide la commande sans souci, il n'y a donc pas que la banque qui peut le valider.
Mais je te remercie.
Je vais renommer la page

Ce message a été modifié par gotcha5832 - 1 Jul 2010, 05:20.

[souhel]

Bonsoir
Et oui, je suis étonné, car cela fonctionne chez moi aussi, sur les paiements par carte, SPPLUS.
Et malheueusement je ne controlais pas tous les paiements, maintenant je suis obligé de controler chaque paiement sur le console SPPLUS,
Si il y a une remède, ça sera beaucoup mieux.

[sykaflex]

salut à tous
effectivement la manip est simple et connue des "malfaisants" et si ce n'est pas le module de paiement qui valide le checkout_process,
il ne reste plus qu'a vérifier ses paiements, ce qui tombe sous le sens pour beaucoup d'entre nous, non ?
gnidhal a dit :

Mais si le problème te perturbe tant que ça, tu peux renommer le ficher checkout_process.php

euh... je ne vois pas ce que cela change, le nouveau nom du fichier étant dans le code source ...
masquer l'url ne servant à rien, peut-etre une reédriture dynamique de l'url avec reconnaissance par les modules de paiement... ça parait compliqué à mettre en oeuvre !

[Gnidhal]

euh... je ne vois pas ce que cela change, le nouveau nom du fichier étant dans le code source ...

Certes, mais cette solution est aussi concrète que la "faille" décrite
Quant à le faire ça n'est pas si compliqué, suffit de changer le define dans filename aussi.

Cette "faille" c'est un peu comme si au comptoir "enlèvement produit" d'une GSS, le magasinier distribuait les commandes à n'importe qui sans vérifier le ticket de caisse.

Contrôler la réalité d'un paiement me parait d'une telle évidence que j'ai peine à comprendre l'angoisse du commerçant face à ce cas de figure.
Dans le cas d'un paiement par chèque on a bien une commande et pas de paiement puisqu'il faut l'attendre!
Dans le cas d'un paiement par CB c'est pareil. Même dans certains cas, la banque peut valider un paiement qui apparaîtra en défaut dans la récap de fin de journée. (certaines banques ont une contre-vérification différée, opération qui devait devait être éliminée par le 3DS, mais là c'est une autre histoire)
Alors si le montant est faible, le commerçant peut prendre le risque. Sinon il vérifie.
La fraude à la CB est tellement fréquente que je ne comprends même pas qu'un commerçant puisse agir autrement.

[Raymond_lascienc...]

Oui, il faut travailler en fonction des paiements reçus, ça va sans dire.
On regarde le paiement reçu quel qu'il soit, CB, virement, chèque puis on valide la commande et on sort la facture.

[chrysalide]

Les règles de bonnes intelligences sont quelques fois un peu dures a être assimilées par certains.

J'ai un ou deux exemples. On a bon répéter encore et encore mais il est difficile de se plier aux règles les plus simples.

[gotcha5832]

Les règles de bonnes intelligences sont quelques fois un peu dures a être assimilées par certains.

Je vois pas l'intérêt d'être désagréable et juger l'intelligence des autres..? (mais je dois pas être assez intelligent pour cela).

Pour en revenir, au sujet, je vois en quoi le fais de vérifier les paiments enlève de l'intérêt de supprimer ce soucis de validation de commande?

Et je me pose une autre question? chez amazon il vérifie toute leur commande une par une?

[Gnidhal]

Et je me pose une autre question? chez amazon il vérifie toute leur commande une par une?

Il y a des chances que les paiements soient tous vérifiés 1 par 1. Et c'est une certitude concernant les paiement au dessus d'un certain montant.
Chez les gros de la VPI, tout est vérifié par un responsable désigné à cette tâche : les paiements par le service financier, les livraisons par le service colis, ...
Si certaines choses sont automatisées, c'est pour accélérer le traitement mais tous les automates sont contrôlés par un humain.
Pour le reste, c'est une loi statistique qui prévaut : il y a forcément des impayés mais leur quantité est faible par rapport au chiffre.

A toutes fins utiles, l'astuce que tu cites ne fonctionne pas sur les boutiques utilisant Atos (la plupart des grandes banques) ou le module du CMCIC.
Quant à PayPal, la dernière version valide le paiement en 2 fois et Paypal envoie un mail pour tout paiement reçu. Le contrôle est donc facile et cet envoi de mail prouve que les majors du paiement en ligne sollicitent la vérification humaine.
Il convient donc de voir avec le module que tu utilises et éventuellement de changer de prestataire de paiement.

La vérification de chaque paiement avant traitement est une évidence.

Avec ton raisonnement, tu iras faire un procès à ton concessionnaire de voiture car tu as pris une prune pour excès de vitesse alors que tu avais mis le régulateur !
C'est une tendance moderne de chercher des responsables pour toutes ses propres erreurs ou incompétences.

En ce qui concerne la "bonne intelligence" elle est nécessaire pour toute chose et n'exige pas d'être très intelligent mais de savoir utiliser son intelligence !

[chrysalide]

Les règles de bonnes intelligences sont quelques fois un peu dures a être assimilées par certains.

Je vois pas l'intérêt d'être désagréable et juger l'intelligence des autres..? (mais je dois pas être assez intelligent pour cela).

Pour en revenir, au sujet, je vois en quoi le fais de vérifier les paiments enlève de l'intérêt de supprimer ce soucis de validation de commande?

Et je me pose une autre question? chez amazon il vérifie toute leur commande une par une?

hop hop mon gars, il serait "intelligent" de ne pas sortir un phrase de son contexte.

quand je dis 1 ou 2 exemples comment peux tu prendre ça pour toi ?! on se connait ?

les règles de bonne intelligence c'est de mettre sa ceinture de sécurité même si elle ne sert a rien a la conduite d'un véhicule mais son utilisation est vivement recommandée.

Pourtant, il y aura toujours des récalcitrants a son utilisation !

en E-commerce c'est pareille. il y a des règles de bon sens mais malgré tous les avertissements possibles ces règles ne sont pas suivies par certains e-commerçants.

Ce message a été modifié par chrysalide - 16 Jul 2010, 00:19.

[gotcha5832]

@chrysalide
Désolé de mettre enflammé si j'ai compris de travers.