OFF TOPIC Du scheinst ja ein ganz lustiger, allwissender Geselle zu sein ... meine Herrn dein Ego möchte ich nicht haben ...
Eine kleine Bitte zum Sonntag: Hier geht es m.E. um ein verhältnismäßig sehr ernstes Thema. Unterschiedliche weltanschauliche oder philosophische Ansichten jeder Art, sollten von den Betreffenden doch bitte per PN diskutiert werden. Öffentliche Auseinandersetzungen sind für andere User m.E. nur von marginalem Interesse, wenig zielführend, belasten die Atmosphäre und füllen diesen Fred nur mit Ballast. Vielen Dank.
Hallo an Alle, ich möchte hier auch mal meinen Senf dazu geben. Folgendes Szenario bei einem Kunden. Im Shop verschwanden immer wieder Bestellungen, Produkte, mal Produktbeschreibungen, Kundendaten u.s.w. Ich habe das über Tage beobachtet, habe sogar piwik im Backend installiert um das Backend zu überwachen. Bis ich den Eindringling hatte, und sogar an Hand seiner IP Adresse überführt hatte, weil er einfach zu blöd war seine IP Adresse zu verschleiern. Jetzt hatte ich zwar denjenigen, wusste aber noch nicht wie er in den Shop gekommen war. Ich habe mir dann erst mal alle admin Zugänge angesehen, und die Passwörter geändert. Es hat kein 10 stunden gedauert, war der wieder drin. Da schaust erst mal dumm aus der Wäsche und weißt nicht was da los ist. Ok, ich mach es kurz bevor das ein Roman wird. Jedenfalls gab es ein Kundenkonto was alle admin Rechte hatte, aber als solches nicht zu erkennen war, weder über die Suchfunktion noch sonnst irgendwie, und getarnt war das ganze mit einer gambio E-Mail Adresse x.xxxxx.@gambio.de Wie der es letztendlich geschafft hat, so ein Konto anzulegen, keine Ahnung, ich war Froh, das ich dem Kunden helfen konnte und wir das Sch... enttarnt haben. Vielleicht ist das ja noch ein Ansatz.
Hallo Achim, ja hatte er, obwohl ich mir nicht ganz sicher bin, ob der überhaupt einen Status hatte, ist mittlerweile über ein Jahr her.
ok, danke. Aber wenn da steht Gast oder neuer Kunde kann man ja nicht nach admin-Rechten kontrollieren - da sind ja keine
daher würd ich ja in der DB schauen was da für kunden rechte habe Da kannst es ja nicht verschleiern.
Mal eine neugierige Frage: Wie kann man auf normalem Wege ein solches Konto (Typ: ADMIN!) anlegen - siehe Bild? Wenn ich ein Konto anlege, so ist das Feld "customers_date_added" stehts aus gefüllt!
na in dem ich den Feldwert per sql so mitgebe, oder nicht. Gebe ich den wert nicht mit nehmen Felder Standardwerte an in Deinem Fall 0 Datum ...
So ein paar XSS / SQL Injection Sicherheitslücken sind ja in der create_account.php für osCommerce und auch für XTC 3.04 bekannt, aber die werden ja in Gambio sicherlich alle geschlossen sein. Beispiele: (Link nur für registrierte Nutzer sichtbar.) (Link nur für registrierte Nutzer sichtbar.)
Krass Manfred. Von wann in etwa ist der User? Kannst du ja anhand des vorherigen und nachfolgenden Kunden abschätzen?
Fein! Und in der Tabelle "admin_access" sind wieviel Einträge? Bei mir war da "merkwürdigerweise" einer mehr - siehe oben! PS: Sorry - aber so lamsam nagt dies Thema aber meiner Nachtruhe!