PHP Tutorial

[Video] Session: Xây dựng web hoàn thiện gồm cart page + checkout page + complete page - Lập trình PHP/MySQL

Mở bài

Xây dựng một cửa hàng trực tuyến hoàn chỉnh đòi hỏi nhiều thành phần: danh mục sản phẩm, giỏ hàng, quy trình thanh toán và trang xác nhận đơn hàng. Trong đó, quản lý trạng thái phiên người dùng (Session) đóng vai trò then chốt để lưu trữ giỏ hàng tạm thời, theo dõi tiến trình thanh toán và bảo đảm trải nghiệm mượt mà trên toàn bộ luồng mua hàng. Việc hiểu rõ cách sử dụng Session trong PHP kết hợp với MySQL giúp bạn thiết kế hệ thống cart page, checkout page và complete page an toàn, dễ mở rộng và thân thiện với người dùng.

Bài viết này hướng dẫn chi tiết từng bước — từ phân tích kiến trúc, thiết kế cơ sở dữ liệu, hướng dẫn code mẫu cho cart/checkout/complete, đến những lưu ý bảo mật (CSRF, XSS, SQL Injection) và tối ưu UX. Mục tiêu là cung cấp cho bạn một lộ trình thực tế để hiện thực hóa một web bán hàng nhỏ bằng Session và PHP/MySQL, phù hợp cho dự án học tập hoặc MVP (minimum viable product).

Vì sao dùng Session cho cart page, checkout page, complete page?

Session là cơ chế lưu trữ trạng thái phía server cho từng người dùng; mỗi client sẽ được gán một session id. Khi xây cart page, checkout page và complete page, Session mang lại nhiều lợi thế:

An toàn hơn cookie: dữ liệu quan trọng như nội dung giỏ hàng có thể được lưu ở server, chỉ truyền session id trong cookie.
Dễ quản lý trạng thái multi-step: tiến trình checkout thường có nhiều bước — shipping, payment, review — Session giúp lưu tạm dữ liệu giữa các trang.
Không yêu cầu đăng nhập: khách hàng có thể thêm sản phẩm vào giỏ hàng bằng Session khi là guest, sau đó chuyển thành user khi đăng nhập.
Dễ đồng bộ server-side: khi cần tính toán cuối cùng hoặc lưu lịch sử, Session có thể được đồng bộ vào MySQL và chuyển thành order.

Sử dụng Session đúng cách sẽ giúp trải nghiệm mua hàng mượt mà: khi người dùng vào cart page, các mục được giữ nguyên trên nhiều request; khi chuyển sang checkout page, hệ thống có thể truy xuất toàn bộ thông tin đã chọn để tính toán phí và điều kiện thanh toán; sau khi hoàn tất, complete page hiển thị thông tin order an toàn. Tuy nhiên, Session cũng cần được xử lý thận trọng: phải bảo mật session id, tránh session fixation, và tối ưu lưu trữ để không gây tắc nghẽn server.

Kiến trúc tổng quan và thiết kế cơ sở dữ liệu

Trước khi viết mã, cần xác định kiến trúc và schema database cho cart/checkout/complete. Một kiến trúc điển hình gồm:

Frontend: cart page (hiển thị giỏ), checkout page (form giao hàng & thanh toán), complete page (xác nhận).
Backend (PHP): quản lý Session, thực hiện tính toán, validate, và giao tiếp với MySQL.
Database (MySQL): lưu product catalog, orders, order_items, và có thể lưu cart tạm khi cần lưu lâu dài.

Một thiết kế DB tối giản:

products (id, name, sku, price, stock, thumbnail)
orders (id, user_id nullable, total, status, address, payment_method, created_at)
order_items (id, order_id, product_id, qty, price_snapshot)
users (id, email, password_hash, fullname)
(tùy chọn) carts & cart_items để lưu cart lâu dài cho guest/registered users.

Quy trình thông tin: khi user add-to-cart → thêm vào $_SESSION['cart'] (mảng product_id => qty & price_snapshot). Khi tới checkout, server validate từng sản phẩm theo dữ liệu trong DB (giá hiện tại, stock) để tránh gian lận client. Khi xác nhận thanh toán, dùng transaction MySQL để tạo orders và order_items, trừ tồn kho an toàn.

Cấu trúc Session trong PHP: lưu gì và lưu ở đâu?

Session trong PHP mặc định lưu file trên server; bạn có thể cấu hình lưu vào Redis/DB khi cần scale. Về cấu trúc dữ liệu trong Session, nên chuẩn hóa để dễ xử lý:


$_SESSION['cart'] = [
  'items' => [
    101 => ['product_id' => 101, 'name' => 'Áo thun', 'qty' => 2, 'price' => 150000],
    205 => ['product_id' => 205, 'name' => 'Giày', 'qty' => 1, 'price' => 750000],
  ],
  'subtotal' => 1050000, // optional
  'shipping' => 30000
];

Một số lời khuyên:

Lưu giá snapshot (price) để biết khách hàng nhìn thấy giá nào lúc thêm vào giỏ. Khi checkout, so sánh snapshot với giá DB để phát hiện thay đổi.
Không lưu sensitive data như card numbers trong Session; chỉ giữ token/identifier cho payment gateway.
Session_regenerate_id(true) sau khi user login để tránh session fixation.
Thiết kế session cleanup: đặt TTL, xóa cart cũ trên server hoặc migrate sang DB khi user đăng nhập.

Khi lưu cart trong Session, thao tác thêm/xóa/điều chỉnh số lượng chỉ cập nhật $_SESSION['cart'] và trả lại view cho client. Điều này giúp cart page phản hồi nhanh mà không cần ghi DB mỗi lần người dùng thay đổi.

Triển khai cart page: thêm, sửa, xóa mục, hiển thị tổng tiền

Cart page cần hỗ trợ ba thao tác cơ bản: add, update, remove. Ví dụ code xử lý add-to-cart bằng PHP:


session_start();
// nhận product_id và qty từ POST
$product_id = (int)$_POST['product_id'];
$qty = max(1, (int)$_POST['qty']);

// load product từ DB
$stmt = $pdo->prepare("SELECT id, name, price FROM products WHERE id = ?");
$stmt->execute([$product_id]);
$product = $stmt->fetch();

if (!$product) {
  // xử lý error
}

if (!isset($_SESSION['cart']['items'][$product_id])) {
  $_SESSION['cart']['items'][$product_id] = [
    'product_id' => $product['id'],
    'name' => $product['name'],
    'qty' => $qty,
    'price' => $product['price']
  ];
} else {
  $_SESSION['cart']['items'][$product_id]['qty'] += $qty;
}

Khi render cart page, tính subtotal, thuế, shipping:


$subtotal = 0;
foreach ($_SESSION['cart']['items'] as $item) {
  $subtotal += $item['qty'] * $item['price'];
}
$shipping = ($subtotal > 500000) ? 0 : 30000;
$total = $subtotal + $shipping;

UX tips:

Hiển thị sản phẩm với thumbnail, name, qty control (+/-), price per item và line total.
Cập nhật số lượng bằng AJAX để không reload trang (gọi endpoint update_cart.php).
Khi user thay đổi qty mà vượt stock, trả lỗi rõ ràng.
Cung cấp CTA "Proceed to Checkout" rõ ràng.

Với Session, cart page sẽ truy xuất $_SESSION['cart'] nhanh chóng; tuy nhiên, hãy luôn validate lại giá và tồn kho khi tiến hành checkout để tránh gian lận.

Xây dựng checkout page: validate thông tin, áp dụng coupon, chọn phương thức thanh toán

Checkout page là nơi quan trọng nhất: nơi bạn thu thập thông tin giao hàng, áp dụng mã giảm giá và xử lý thanh toán. Bước triển khai:

Bước 1 - Pre-check: kiểm tra cart còn item, subtotal hợp lệ.
Bước 2 - Hiển thị form: input name, phone, email, address, shipping method, payment method. Kèm CSRF token trong form.
Bước 3 - Server-side validation: validate các trường required, format email/phone.
Bước 4 - Recalculate & lock: lấy giá chính xác từ DB, so sánh với price snapshot, chọn phương án nếu giá thay đổi (update, warn, hoặc abort).
Bước 5 - Launch payment: với payment gateway (VNPay, Stripe), tạo order tạm và redirect hoặc xử lý offline (cash on delivery).
Bước 6 - Finalize: sau khi thanh toán thành công, tạo record order chính thức và empty session cart.

Ví dụ xử lý POST checkout (nội dung tóm tắt):


session_start();
if (empty($_SESSION['cart']['items'])) { /* redirect to cart */ }
$address = trim($_POST['address']);
// validate
// begin transaction
$pdo->beginTransaction();
try {
  // re-check stock/price
  foreach ($_SESSION['cart']['items'] as $it) {
    $stmt = $pdo->prepare("SELECT stock, price FROM products WHERE id=? FOR UPDATE");
    $stmt->execute([$it['product_id']]);
    $row = $stmt->fetch();
    if ($row['stock'] < $it['qty']) throw new Exception("Out of stock: {$it['name']}");
    // optional: compare price
  }
  // insert order
  $stmt = $pdo->prepare("INSERT INTO orders (user_id, total, status, address) VALUES (?,?,?,?)");
  $stmt->execute([$userId, $total, 'processing', $address]);
  $orderId = $pdo->lastInsertId();
  // insert order_items, update product stock
  $pdo->commit();
  // clear session cart
  unset($_SESSION['cart']);
  header("Location: complete.php?order_id=$orderId");
} catch (Exception $e) {
  $pdo->rollBack();
  // show error
}

Quan trọng: dùng transaction để tránh tình trạng oversell khi có nhiều checkout đồng thời.

Complete page: hiển thị đơn hàng và gửi email xác nhận

Sau khi tạo order, redirect user đến complete page để hiển thị thông tin:

Order number (id), summary items, tổng tiền, địa chỉ giao hàng, phương thức thanh toán, thời gian xử lý dự kiến.
Có thể cung cấp số tham chiếu và theo dõi trạng thái.

Ví dụ minimal complete page:


$order = getOrderById($orderId);
if (!$order) { /* 404 */ }
$items = getOrderItems($orderId);

Gửi email xác nhận là bước quan trọng để tạo niềm tin khách hàng. Dùng library như PHPMailer hoặc SwiftMailer để gửi mail từ server:

Tiêu đề: "Xác nhận đơn hàng #12345"
Nội dung: tóm tắt sản phẩm, tổng tiền, thời gian tạo, thông tin liên hệ.
Đính kèm hóa đơn (PDF) nếu cần.

Ngoài email, bạn có thể lưu lịch sử đơn hàng cho user và cho phép khách xem lại từ trang account.

Bảo mật, chống lỗi và best practices khi dùng Session + PHP/MySQL

Để hệ thống ổn định và an toàn, áp dụng các best practices:

Session fixation protection: gọi session_regenerate_id(true) sau login.
Session cookie flags: session_set_cookie_params(['httponly'=>true, 'secure'=>true, 'samesite'=>'Lax']) khi dùng HTTPS.
Xác thực server-side: mọi kiểm tra giá, tồn kho phải thực hiện ở server.
SQL Injection prevention: dùng prepared statements (PDO/Mysqli).
CSRF protection: chèn token cho form checkout và validate.
Input & output sanitization: htmlspecialchars() khi hiển thị, validation cho input.
Error handling & logging: không hiển thị error chi tiết cho user; log để debug.
Concurrency handling: dùng SELECT ... FOR UPDATE trong transaction để lock record khi trừ stock.
Rate limiting: tránh spam checkout, brute force.
Backup & archiving: lưu order/transaction logs, backup DB định kỳ.

Áp dụng các biện pháp này giúp bạn bảo vệ dữ liệu người dùng và giữ hệ thống ổn định khi có nhiều truy cập.

Tối ưu UX, testing và triển khai

Một web bán hàng tốt cần trải nghiệm mượt và độ tin cậy cao. Một số gợi ý:

AJAX cho cart: thêm/xóa/ cập nhật số lượng bằng AJAX để trải nghiệm mượt mà.
Progress save: lưu session mỗi khi thay đổi giỏ để tránh mất khi đóng trình duyệt.
Thông báo rõ ràng khi giá hoặc tồn kho thay đổi trước checkout.
Integration tests: test luồng add-to-cart → checkout → complete bằng PHPUnit hoặc test script.
Load testing: kiểm tra transaction handling khi nhiều người checkout cùng lúc.
Triển khai: dùng SSL, đặt session handler qua Redis khi scale, cấu hình backup MySQL.

Kết luận

Sử dụng Session để xây dựng cart page, checkout page và complete page kết hợp với PHP/MySQL là con đường thực tiễn, hiệu quả cho nhiều dự án thương mại điện tử nhỏ và trung bình. Session cho phép lưu trạng thái an toàn, hỗ trợ luồng thanh toán nhiều bước và mang lại trải nghiệm người dùng liền mạch. Tuy nhiên, để hệ thống vận hành tốt bạn phải đảm bảo các bước kiểm tra phía server, dùng transaction để bảo toàn dữ liệu, bảo mật session cookie và áp dụng prepared statements để chống tấn công.

Bắt đầu từ một MVP đơn giản: lưu cart trong $_SESSION['cart'], triển khai checkout với transaction MySQL, rồi mở rộng lưu cart vĩnh viễn, tích hợp payment gateway, và cuối cùng là scaling bằng cache và session store như Redis. Thực hành các nguyên tắc và mẫu mã được trình bày ở trên sẽ giúp bạn xây dựng một web bán hàng hoàn chỉnh, an toàn và có thể mở rộng — nền tảng vững chắc để phát triển sự nghiệp trong lập trình PHP/MySQL. Hãy bắt tay vào viết mã, thử nghiệm các tình huống thực tế và liên tục cải tiến để tối ưu hoá trải nghiệm mua sắm cho khách hàng của bạn.

Mục Lục