ASP.NET 2.0打造购物车和支付系统之二

图1.购物篮为空时的提示。
三、购物篮

图2.示例程序中实现的购物篮。

购物篮（参考图2）用于存储产品（顾客通过点击紧邻每一种产品的"Add to basket"按钮从产品列表中选择）。把购物篮存储在会话状态中的实现是不错的技术，因为在一次完整的购物中，在任何时候顾客决定离开你的站点，或可能 倒空他们的购物篮时，所有这些数据都有可能被丢弃。当然，由于若干原因，例如为了市场调查目的以标识谁在分析什么以及判断购物潮流等时，你还可以选择把顾 客的购物篮内容存储在一个数据库中。另一个理由可能是，向他们展示"Last time you were here you looked at these items ..."类型显示。这要求你有一个方法来区分顾客。两种通常使用的技术是，把一个cookie存储在用户自己的系统中-通过使用一个唯一的ID来标识他们 的未来访问，或使用他们的登录ID来加以区别（如果你已经实现顾客登录的话）。

更新的购物篮还使用createProductDT ()函数来创建它的初始的空DataTable。在本演示程序中，我们将使用相同的表格结构，但是你可以通过删除一些数据列来进一步"提炼"你的购物篮。 在大多数情况下，你仅需要存储每种产品的ID和数量，由于你能够容易地基于它的ID查找实际的产品细节。

每次经由产品列表把一个产品添加到篮中时，它的"Add to basket"按钮都会激活一个OnServerClick事件：

protected void shopBuy_OnServerClick(object source， EventArgs e) {  int index = ((GridViewRow)((HtmlInputButton)source).Parent.NamingContainer).RowIndex;  addToBasket(Convert.ToInt32(gvProducts.DataKeys[index].Value)); }  protected void addToBasket(int productID) { DataTable dtBasket = getBasketDt(); //循环遍历购物篮并检查是否该项已经存在 bool found = false; for(int i = 0; i < dtBasket.Rows.Count; i++) {  if(Convert.ToInt32(dtBasket.Rows[i]["id"]) == productID) { //增加数量并且标记为已发现 dtBasket.Rows[i]["quantity"] = Convert.ToInt32(dtBasket.Rows[i]["quantity"]) + 1; found = true; //当我们已经找到一项时跳出循环 break; }  } //如果该项没有找到，则把它添加为一个新行  if(!found) {  DataTable dtProducts = getProductsDt();  DataRow drProduct = dtProducts.Rows.Find (productID); //现在，我们已经从数据源中得到了需要的数据，那么我们将把一个新行添加到购物篮中 DataRow newRow = dtBasket.NewRow(); newRow["id"] = drProduct["id"]; newRow["name"] = drProduct["name"]; newRow["price"] = drProduct["price"]; newRow["quantity"] = 1; dtBasket.Rows.Add(newRow); } //把新更新的购物篮存储回会话中 Session["dtBasket"] = dtBasket; //更新购物篮，也即是"重新绑定它" updateShopBasket(); }

我们是使用shopBuy_OnServerClick()函数来"捕获"这一点的（这个函数能标识按钮属于哪一行），得到相关产品的ID并用它来调用 addToBasket()。在该函数内，我们可以使用给定的产品ID来检查购物篮。如果它已经存在于购物篮中，那么我们需增加它的数量；而如果它不存 在，那么我们把它添加为一个新行。最后，我们把购物篮重新绑定到它的更新的DataSource上。参考图3。

图3.实际使用中的购物篮。

该购物篮，就象产品GridView一样，也使用TemplateColumns；因此，我们可以在每一行上建立一个数量文本框。这为顾客提供一种容易 的方式来更新他们要求的每一种商品的数目。一旦他们改变了这些值，他们点击在购物篮下面的"Update Quantities"按钮。这将激活一个为shopUpdateBasketQuantities_OnServerClick()所捕获的 OnServerClick事件。这类似于addToBasket()函数：我们必须定位购物篮中的产品，然后更新它的数量。区别在于：当检查从文本框中 检索的数据时，我们必须小心，因为你根本不会知道什么人能够进入到其中致使弄乱你的系统。下面是处理这一检查的函数的部分代码片断：

//从Quantity文本框中读取数据 HtmlInputText itQuant = (HtmlInputText)row.FindControl("itProductQuantity"); //把该值转换成一个整数 try { int quant = Convert.ToInt32(itQuant.Value); /*如果该值成功转换成一个整数，那么我们还 需要检查它不是一个负数；否则的话，我们可能欠 顾客钱!*/ if(quant > 0) { drProduct["quantity"] = quant;  } else { drProduct.Delete(); }  } catch {  //如果我们不能把它转换成整数，那么我们不作什么改变。 }

例如，如果有人在quantity域中输入-100，你可能还会欠他们的钱！不过，一般地，你可能不会把钱支付给他们，但是这要依赖于你的支付系统是如 何建立的。由于这个原因，我们把这个整数分析包装到一个try/catch语句块内，以便在不能分析的情况下，我们保留原来的值不变。此后，我们检查这个 quantity以确保它大于零。如果它小于或等于零，那么我们删除这一行。最后，在检查完购物篮中所有的产品并且修改它们各自相应的数量后，我们即保存 购物篮并更新显示。

购物篮的最后一个关键组成是updateShopBasket()函数：

private void updateShopBasket() {  gvBasket.DataSource = getBasketDt(); gvBasket.DataBind();  ibEmptyBasket.Visible = ibUpdateBasketQuantities.Visible = ibBasketCheckout.Visible = gvBasket.Rows.Count > 0;  }

这个函数能够从会话状态中提取购物篮的一个副本，这反过来将创建会话购物篮，如果它已经不存在的话，然后绑定到GridView。其最终目的是隐藏或显示三个购物篮按钮；因为如果购物篮为空的话，不需要显示它们。
四、一个值得注意的安全问题

在你的系统的用户有机会输入数据的任何地方都应该严格控制以确保他们没有输入任何不想实现的内容。一个普通问题就是SQL注入。在这种位置，有些人可以 把SQL代码输入到一个站点的某个部分，然后你可以在你想使用的原始SQL语句内使用它。所以，比方说相应于quantity域，你可以使用：

"UPDATE tbl_basket SET quantity = " + quantity.Text + " WHERE user_id = " + user_id;

如果顾客在"quantity"文本框内输入6并且他们的登录id是230，那么上面的代码将看起来象：

UPDATE tbl_basket SET quantity = 6 WHERE user_id = 230;

而如果顾客输入：

" 1 WHERE 1 = 1; DROP tbl_users; --"

那么，原始语句现在看起来象：

UPDATE tbl_basket SET quantity = 1 WHERE 1 = 1; DROP tbl_users; -- WHERE user_id =;

这样以来，他们可以使用"1 WHERE 1 = 1;"来完成原始语句，然后继续"Drop tbl_ users;"操作，这很不妙！最后，他们可以注释掉原始语句的其它部分。其实，这仅是一个极其简单的示例。有关于SQL注入的问题，你可以在网站上搜到 许多信息。

五、 支付

存在许多种使用电子业务方式接收支付的方法。下面列出几种：

· 在线商店实际上并不仅仅是一个在线目录，顾客往往还必须能够电话联系到你以便进行订购。

· 类似上面这种情形，除非你亲自找到顾客来完成整个交易。如果这是有关一些建筑方面的工作（例如一个院子或一个厨房），并且在实地考察之后你需要当场向他们提出一个报价，那么这可能很重要。 

· 使用一种内置安全的支付方法。通过这种方法，顾客能够输入他们的信用卡细节并且可以由系统自动处理交易。

· 使用例如PayPal、Worldpay或DebiTech等一种外部支付方法。

本文中的演示商店基于一种旧式风格的使用PayPal接收支付的方法。它应该与其它外部支付系统（例如稍经修改的WorldPay）结合在一起工作。我 们之所以说是"旧式风格"是因为，现在的PayPal一般都提供其自己的.net工具包-实现它们自己的连接到它们的站点的系统。

整个收集购物篮数据并把它转移到PayPal的系统都是在shopBasketCheckout_OnServerClick()函数内实现的：

protected void shopBasketCheckout_OnServerClick(object source，EventArgs e) { string postData = ""; postData += "currency_code=GBP"; postData += "&cmd=_cart"; postData += "&business=youremailaddress@yourdomain.net"; postData += "&upload=1"; postData += "&cancel_return=www.davidmillington.net"; DataTable dtBasket = getBasketDt(); double total = 0.00; for(int i = 0; i < dtBasket.Rows.Count; i++) {  postData += "&item_name_" + (i + 1) + "=" + dtBasket.Rows[i]["name"]; postData += "&quantity_" + (i + 1) + "=" + dtBasket.Rows[i]["quantity"]; postData += "&amount_" + (i + 1) + "=" + Convert.ToDouble(dtBasket.Rows[i]["price"]); total += (Convert.ToDouble(dtBasket.Rows[i] ["price"]) * Convert.ToInt32(dtBasket.Rows[i]["quantity"])); if(i == dtBasket.Rows.Count - 1) { postData += "&shipping_" + (i + 1) + "=" + calcDeliveryCost(total);  } else { postData += "&shipping_" + (i + 1) + "=0.00"; }  postData += "&shipping2_" + (i + 1) + "=0.00";  postData += "&handling_" + (i + 1) + "=0.00";  } postData += "&handling=" + calcDeliveryCost(total); byte[] data = Encoding.ASCII.GetBytes(postData); HttpWebRequest ppRequest = (HttpWebRequest) WebRequest.Create("https://www.paypal.com/cgi-bin/webscr");; ppRequest.Method = "POST"; ppRequest.ContentType = "application/x-www-form- urlencoded"; ppRequest.ContentLength = data.Length; //发送 Stream ppStream = ppRequest.GetRequestStream();  ppStream.Write(data， 0， data.Length); ppStream.Close();  //接收 HttpWebResponse ppResponse = (HttpWebResponse)ppRequest.GetResponse();  StreamReader sr = new StreamReader(ppResponse.GetResponseStream()); string strResult = sr.ReadToEnd(); sr.Close(); //输出到屏幕 Response.Clear(); Response.Write(strResult); Response.End(); }

因为看起来没有一种办法使一个C#应用程序实现寄送并重定向到另一个站点（就象你通常使用一个<form > action属性所实现的那样），所以我们必须采用一种稍微不同的方法。我们构建了一个long型字符串，它包含多个名/值对，然后使用 HttpWebRequest和HttpWebResponse对象来从支付服务中来回发送与接收数据。

该函数的第一部分指定PayPal帐户细节，例如使用的货币，帐户名以及PayPal应该把顾客返回的页面（如果他们决定取消该交易的话）。

下一步是遍历购物篮并且检索所有我们想传递到PayPal的产品信息。这包括产品名称、数量和价格。由于该演示程序的特点，我们在运送费用方面稍微施加 了一点技巧并且把整个运送费用添加到购物篮中最后一件产品上而不是添加到每一件产品。这是因为我们仅基于购物篮的总价求出总的运送费用，而不是基于任何产 品种类。 

现在，我们来讨论有趣的部分。我承认，这是我通过Google引擎查询的结果。首先我们创建一个Request对象，当 我们经由一个Stream联系到PayPal时使用它。我们使用一个Response对象来接收该响应并简单地把它通过Response.Write() 输出到屏幕。这可以把整个购物篮信息输送到PayPal站点并把它导向正确的帐户。

现在的问题是，顾客到达的第一个页面在相应的地址 栏内仍然有你的商店地址。如果他们点击该PayPal站点的任何链接，例如观看购物篮内容或进行登录的话，那么该地址应该相应地改变以反映它确实是 PayPal。你可能意识到，有些人可能会被误解，因为这样的事实-他们仍然能够在地址栏中看到你的商店的地址并且甚至可能认为你在试图骗取他们的 PayPal或银行帐户细节。如果你正在计划经由一个外部系统例如PayPal或WorldPay来实现支付，那么你应该检查它们的开发者站点来看一下他 们推荐的.net方案是什么。

六、结论

在本节中，我们首先分析一种生成GridView的 DataSource的方法，然后继续使用该数据来创建一个全功能的购物接口。尽管该演示程序中的DataSource可以自由创建；但是，如果你或者有 大量的产品或仅拥有一个经常改变的产品线的话，你确实应该需要考虑使用一个数据库来存储你的产品信息。当然，把一个数据库添加到系统中等于打开了它自己的 病毒库；因此，这是一种不应该轻易采取的措施。

需要特别注意的地方是支付系统。该演示商店使用一个很简单的方法来收集要求的购物篮信 息并把它发送到一个外部支付系统。你可能想使用更多的控件来实现支付处理，例如提取顾客的支付细节并把它们存储到一个数据库，或编写你自己的电子销售点功 能。不管你选择什么方法，你应该清醒地认识到在你的国家实现接收和支付的合法性。

在本系列下一篇中，我们将讨论更改GridView外观的一些方法。