kein ding, hatte es aus der Anleitung genommen und eingefügt Kann man dem Kunden in seinem Konto die Nummer auch zur Verfügung stellen?
Jap so kann der Kunde wenn er sich im Shop eingelogt hat auch dort die Trackingnummer sehen... ginge das? wäre zumindest super und toller Service für den Kunden
Hätte da noch ein Template liegen für den Kundenbereich des Gambio, allerdings nur ne PSD. Stell sie gern zur Verfügung Gambio ist leider etwas "angestaubt
Solange ich Avengers-PHP-Usermod (bei mir) für das Packstationsmodul nicht ans laufen kriege kann das noch dauern ;-(
@HolgerNils: Mir ist in deinem Code aufgefallen, dass du Daten, bevor sie per SQL-Befehl in die Datenbank geschrieben werden, per xtc_db_prepare_input filterst. Der Funktion tut nicht das, was man vermutet. Sie führt ein stripslashes statt mysql_real_escape_string durch, so dass SQL-Injections problemlos möglich sind, was sicherheitstechnisch ein No-go ist. Statt xtc_db_prepare_input sollte die Funktion xtc_db_input genommen werden. Ebenso kritisch sind GET-, POST- und Co-Daten ganz ungefiltert im SQL-Befehlen. Im schlimmsten Fall können mittels SQL-Injection alle Daten aus der Datenbank ausgelesen, manipuliert und gelöscht werden. Das ist sicherlich nicht im Sinne eines Shopbetreibers . Was man alles böses über die Lücken im Tracking 2.0 machen kann, habe ich jetzt nicht überprüft. @all: Man sollte, bevor man blind Codeänderung anderer im Shopsystem einbindet, überprüfen (lassen), ob diese sicherheitstechnisch unbedenklich sind. Das ist für die meisten sicherlich aufgrund mangelnder Fachkenntnisse nicht möglich, machts aber auch nicht besser .
Hi Moritz, danke für die Hinweise. Werden beherzigt. Die Funktion findet ja komplett im Adminbereich statt. Hat der Shopbetreiber nicht ein ganz anderes Problem wenn DA jemand SQL-Injections durchführt? Ins Frontend reicht das "Ding" doch gar nicht. Wer im Adminbereich sowas versucht hat doch was an der Mütze, da kann er doch gleich ne Datenbanksicherung machen und downloaden.
Ok, ich hatte das nur überflogen und bei "Tracking" gedacht, dass das auch was im Frontend macht. Ganz unbedenklich ist es trotzdem nicht.
Yopp, ändere ich, insoweit danke für die Aufklärung ;-) Soll ja wenn denn dann auch durchgehend ok sein. Aber eine aktue Gefahr besteht bei diesem Backend-Modul demnach nicht.
So, die Trackinginformation im Kundenkonto ist fertig, so siehts aus: In der Kundenkontenübersicht erscheint, sofern eine Tracking-ID eingetragen wurde, ein entsprechender Direktlink auf die Versenderresource: Im Bereich "Sämtliche Bestellungen" analog dazu... Und schliesslich in der Detailansicht der Bestellhistorie: Nun noch die Überarbeitung hinsichtlich der Hinweise von Moritz und dann poste ich nochmal ein ZIP in dem die Änderung drin ist. Sieht im Bespiel blöd aus, normalerweise stünde da dann DHL oder Hermes oder so, aber nicht persönliche Auslieferung ;-)
Super! Meine Herren, ich wüsste nich mal, wo ich das erst < setzen muss Krass, das hast Du Dir quasi selbst beigebracht, oder?!
hast dich um das securety Problem / Hinweise auch schon gekümmert? Weil da ist es ja nicht mehr nur im Admin Bereich jetzt.
Yepp, dieser Bereich nimmt allerdings nichts entgegen und gibt nur aus. Die Eingabebereiche im Backend überarbeite ich noch.