Site web avec commande en ligne

Statut
N'est pas ouverte pour d'autres réponses.

II phl II

Touriste
Bonjour à tous, un ami a fait appel à moi pour lui confectionner un site web permettant d'effectuer des commandes de produits en ligne.

N'ayant jamais réaliser de site web de ce type, j'ai qq questions auxquelles je ne trouve pas de réponse précise.

1) Point de vue technique:
Quel systeme mettre en place pour éviter les commandes bidons ?
J'imagine une sorte de code de validation reçu par mail qu'il faudrait entrer sur le site pour valider la commande mais est-ce fiable et est-ce qu'une validation de ce type lie l'acheteur d'un point de vue légal ?

2) Point de vue légal:
Quelles dispositions légales doivent figurer sur le site ?

Si vous connaissez des sites traitant du sujet, je suis également fort intéressé.

Merci à tous.
 

Jereck

Α & Ω
Staff
II phl II a dit:
1) Point de vue technique:
Quel systeme mettre en place pour éviter les commandes bidons ?
Un système souvent utilisé est celui de l'image avec des chiffres et des lettres à reconnaitre,afin de bloquer les bots (ex : le whois de www.dns.be). Il y avait un tuto sur le site du zero, mais il a l'air down :-s
 
1er
OP
II phl II

II phl II

Touriste
Ah oui le systeme utilisé sur les nouvelles versions de phpBB
mais je pensais qu'il avait été contourné :-s

et sinon du point de vue légal ? à partir de quant l'acheteur est-il lié ?
j'entends par là, à partir de qd son accord peut-il être perçu comme exprimé ?
 

*Serval

Elite
Bon alors la, tu te lances dans quelques choses de compliqué si tu n'as pas de bonne s notions en sécurité en PHP ^^ Enfin soit ^^


en effet, le captcha est décrypté par les nouveaux robots, mais d'autres captcha sont très efficaces.


Pour ton système de commande en ligne, je te suggère un payement paypal, ou alors attendre que le virement soit effectué avant d'envoyer quoi que ce soit.
Surtout pas faire confiance sur le net ^^

Effectivement, l'histoire du mail et l'activation (qui vérifie donc que ce mail appartient a cette personne) permet d'avoir une adresse où le contacter si il y a un problème ;)

Bref, autant mettre le plus de sécurité possible ;)

Bonne chance à toi



(Ce sujet ne serait-il pas mieux dans la partie PHP ?)
 
Pour le point 1) il y a déjà eu des esquisses de réponse (captcha ou similaire, obligation d'être inscrit + validation par mail de l'inscription, voir validation off-line par l'administrateur de l'inscription sur base d'une validation de données comme l'adresse, le numéro de tel ou le numéro de TVA, etc ...)

Par contre pour le point 2), est-ce bien à toi à te poser cette question là ? Si oui est que tu es novice !! Fais gaffe. C'est le genre de sujet qui se traite avec un avocat spécialisé. Sans vouloir te démotiver.
 
1er
OP
II phl II

II phl II

Touriste
Comme je l'ai dit, je n'ai jamais réalisé de site web de vente et donc en la matière je suis novice oui.

Pour ce qui est du paiement, vu le nombre peu élévé de commande que mon "client" attend, en tout cas dans un premier temps, un simple virement bancaire fera l'affaire.

Et pour ma seconde question, je pensais que qqn pourrait me donner une liste des dispositions légales qui doivent figurer sur ce genre de site ou un lien.
Cela doit bien exister ;)

Je ne débute pas en php mais je ne suis pas un as en sécurité non plus.

J'hésite à m'orienter vers un osCommerce, mais c'est vraiment tuer une mouche avec un bazooka :pfrt:

Un simple site avec création de compte, catalogue, commande, validation par mail et ensuite compte rendu par mail ou sur une page web pour l'admin suffirait.

Du point de vue sécurité, quel sont les dangers qui me guettent ?
Mes seules connaissances dans ce domaine sont :
- éviter de transmettre les variables en GET
- utilisation de htmlentities dans les input text
 

*Serval

Elite
II phl II a dit:
J'hésite à m'orienter vers un osCommerce, mais c'est vraiment tuer une mouche avec un bazooka :pfrt:
D2jà testé, super content ;) Vraiment cool comme template :)



II phl II a dit:
Du point de vue sécurité, quel sont les dangers qui me guettent ?
Mes seules connaissances dans ce domaine sont :
- éviter de transmettre les variables en GET
- utilisation de htmlentities dans les input text
htmlentities... moi je fais plutôt un mysql_real_escape_string($var) si magic_quote_gpc est off et mysql_real_escape_string(stripslashes($var)) si c'est à ON

intval($var) quand la donnée est censée être un nombre

attention aux includes.

attention aux variables hidden d'un formulaire... N'oubliez pas qu'on peut facilement en changer le contenu.

attention également aux mails injections (vais pas m'étendre hein ;))

attention encore au Cross-site request forgery (CSRF)

enfin attention au XSS



Je pense avoir fait un tour rapide des principales failles de sécu

Si tu as des questions sur l'une ou l'autre, n'hésite pas
 

*Serval

Elite
il en parlait juste au dessus :D
 

paf_

rider // gsxr600 k5
mouarf ... :oops:

j'ai pas tout lu sorry
 
Statut
N'est pas ouverte pour d'autres réponses.
Haut