Tracking 2.0

Thema wurde von HolgerNils (xycons.de), 17. September 2012 erstellt.

  1. Danny (tbcs-shop.de)

    Danny (tbcs-shop.de) Erfahrener Benutzer

    Registriert seit:
    12. Dezember 2011
    Beiträge:
    483
    Danke erhalten:
    37
    Danke vergeben:
    10
    Jap, die Datei im Zip war zwar da aber ohne inhalt
     
  2. HolgerNils (xycons.de)

    HolgerNils (xycons.de) G-WARD 2013/2014

    Registriert seit:
    29. Oktober 2011
    Beiträge:
    1.985
    Danke erhalten:
    470
    Danke vergeben:
    369
    Sorry for that! Siehe ZIP-File!
    Aber Interessant, dass das nach Tagen erst auffällt ;-)
     
  3. Danny (tbcs-shop.de)

    Danny (tbcs-shop.de) Erfahrener Benutzer

    Registriert seit:
    12. Dezember 2011
    Beiträge:
    483
    Danke erhalten:
    37
    Danke vergeben:
    10
    kein ding, hatte es aus der Anleitung genommen und eingefügt ;)

    Kann man dem Kunden in seinem Konto die Nummer auch zur Verfügung stellen?
     
  4. HolgerNils (xycons.de)

    HolgerNils (xycons.de) G-WARD 2013/2014

    Registriert seit:
    29. Oktober 2011
    Beiträge:
    1.985
    Danke erhalten:
    470
    Danke vergeben:
    369
    Achso, den Trackingcode meinst Du für seine Sendung?
    Gar keine schlechte Idee!
     
  5. Danny (tbcs-shop.de)

    Danny (tbcs-shop.de) Erfahrener Benutzer

    Registriert seit:
    12. Dezember 2011
    Beiträge:
    483
    Danke erhalten:
    37
    Danke vergeben:
    10
    Jap :)

    so kann der Kunde wenn er sich im Shop eingelogt hat auch dort die Trackingnummer sehen... ginge das? wäre zumindest super und toller Service für den Kunden ;)
     
  6. Dennis (MotivMonster.de)

    Dennis (MotivMonster.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    31.166
    Danke erhalten:
    6.199
    Danke vergeben:
    1.101
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    Ja würde den Kunden-Konto Bereich mal etwas aufwerten. Find den irgendwie noch ziemlich bescheiden
     
  7. HolgerNils (xycons.de)

    HolgerNils (xycons.de) G-WARD 2013/2014

    Registriert seit:
    29. Oktober 2011
    Beiträge:
    1.985
    Danke erhalten:
    470
    Danke vergeben:
    369
    Machen wir ne 2.1 draus. Gefällt mir die Idee!
     
  8. Danny (tbcs-shop.de)

    Danny (tbcs-shop.de) Erfahrener Benutzer

    Registriert seit:
    12. Dezember 2011
    Beiträge:
    483
    Danke erhalten:
    37
    Danke vergeben:
    10
    Hätte da noch ein Template liegen für den Kundenbereich des Gambio, allerdings nur ne PSD. Stell sie gern zur Verfügung ;)
    Gambio ist leider etwas "angestaubt :(
     
  9. Danny (tbcs-shop.de)

    Danny (tbcs-shop.de) Erfahrener Benutzer

    Registriert seit:
    12. Dezember 2011
    Beiträge:
    483
    Danke erhalten:
    37
    Danke vergeben:
    10
    Wann Release? :) freu
     
  10. HolgerNils (xycons.de)

    HolgerNils (xycons.de) G-WARD 2013/2014

    Registriert seit:
    29. Oktober 2011
    Beiträge:
    1.985
    Danke erhalten:
    470
    Danke vergeben:
    369
    Solange ich Avengers-PHP-Usermod (bei mir) für das Packstationsmodul nicht ans laufen kriege kann das noch dauern ;-(
     
  11. Danny (tbcs-shop.de)

    Danny (tbcs-shop.de) Erfahrener Benutzer

    Registriert seit:
    12. Dezember 2011
    Beiträge:
    483
    Danke erhalten:
    37
    Danke vergeben:
    10
    Na dann warten wir eben ;)
     
  12. Moritz (Gambio)

    Moritz (Gambio) Administrator

    Registriert seit:
    26. April 2011
    Beiträge:
    5.786
    Danke erhalten:
    2.693
    Danke vergeben:
    903
    @HolgerNils: Mir ist in deinem Code aufgefallen, dass du Daten, bevor sie per SQL-Befehl in die Datenbank geschrieben werden, per xtc_db_prepare_input filterst. Der Funktion tut nicht das, was man vermutet. Sie führt ein stripslashes statt mysql_real_escape_string durch, so dass SQL-Injections problemlos möglich sind, was sicherheitstechnisch ein No-go ist. Statt xtc_db_prepare_input sollte die Funktion xtc_db_input genommen werden. Ebenso kritisch sind GET-, POST- und Co-Daten ganz ungefiltert im SQL-Befehlen. Im schlimmsten Fall können mittels SQL-Injection alle Daten aus der Datenbank ausgelesen, manipuliert und gelöscht werden. Das ist sicherlich nicht im Sinne eines Shopbetreibers ;). Was man alles böses über die Lücken im Tracking 2.0 machen kann, habe ich jetzt nicht überprüft.

    @all: Man sollte, bevor man blind Codeänderung anderer im Shopsystem einbindet, überprüfen (lassen), ob diese sicherheitstechnisch unbedenklich sind. Das ist für die meisten sicherlich aufgrund mangelnder Fachkenntnisse nicht möglich, machts aber auch nicht besser ;).
     
  13. HolgerNils (xycons.de)

    HolgerNils (xycons.de) G-WARD 2013/2014

    Registriert seit:
    29. Oktober 2011
    Beiträge:
    1.985
    Danke erhalten:
    470
    Danke vergeben:
    369
    #33 HolgerNils (xycons.de), 23. September 2012
    Zuletzt bearbeitet: 23. September 2012
    Hi Moritz,
    danke für die Hinweise. Werden beherzigt. Die Funktion findet ja komplett im Adminbereich statt. Hat der Shopbetreiber nicht ein ganz anderes Problem wenn DA jemand SQL-Injections durchführt? Ins Frontend reicht das "Ding" doch gar nicht. Wer im Adminbereich sowas versucht hat doch was an der Mütze, da kann er doch gleich ne Datenbanksicherung machen und downloaden.
     
  14. Moritz (Gambio)

    Moritz (Gambio) Administrator

    Registriert seit:
    26. April 2011
    Beiträge:
    5.786
    Danke erhalten:
    2.693
    Danke vergeben:
    903
    Ok, ich hatte das nur überflogen und bei "Tracking" gedacht, dass das auch was im Frontend macht. Ganz unbedenklich ist es trotzdem nicht.
     
  15. HolgerNils (xycons.de)

    HolgerNils (xycons.de) G-WARD 2013/2014

    Registriert seit:
    29. Oktober 2011
    Beiträge:
    1.985
    Danke erhalten:
    470
    Danke vergeben:
    369
    Yopp, ändere ich, insoweit danke für die Aufklärung ;-)
    Soll ja wenn denn dann auch durchgehend ok sein. Aber eine aktue Gefahr besteht bei diesem Backend-Modul demnach nicht.
     
  16. HolgerNils (xycons.de)

    HolgerNils (xycons.de) G-WARD 2013/2014

    Registriert seit:
    29. Oktober 2011
    Beiträge:
    1.985
    Danke erhalten:
    470
    Danke vergeben:
    369
    So, die Trackinginformation im Kundenkonto ist fertig, so siehts aus:

    In der Kundenkontenübersicht erscheint, sofern eine Tracking-ID eingetragen wurde, ein entsprechender Direktlink auf die Versenderresource:
    kdtrack1.JPG

    Im Bereich "Sämtliche Bestellungen" analog dazu...
    kdtrack2.JPG

    Und schliesslich in der Detailansicht der Bestellhistorie:
    kdtrack3.JPG

    Nun noch die Überarbeitung hinsichtlich der Hinweise von Moritz und dann poste ich nochmal ein ZIP in dem die Änderung drin ist. Sieht im Bespiel blöd aus, normalerweise stünde da dann DHL oder Hermes oder so, aber nicht persönliche Auslieferung ;-)
     
  17. Bianca

    Bianca Erfahrener Benutzer

    Registriert seit:
    13. Oktober 2011
    Beiträge:
    406
    Danke erhalten:
    20
    Danke vergeben:
    35
    Super! Meine Herren, ich wüsste nich mal, wo ich das erst < setzen muss :D Krass, das hast Du Dir quasi selbst beigebracht, oder?!
     
  18. HolgerNils (xycons.de)

    HolgerNils (xycons.de) G-WARD 2013/2014

    Registriert seit:
    29. Oktober 2011
    Beiträge:
    1.985
    Danke erhalten:
    470
    Danke vergeben:
    369
    ;-)
     
  19. Dennis (MotivMonster.de)

    Dennis (MotivMonster.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    31.166
    Danke erhalten:
    6.199
    Danke vergeben:
    1.101
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    hast dich um das securety Problem / Hinweise auch schon gekümmert? Weil da ist es ja nicht mehr nur im Admin Bereich jetzt.
     
  20. HolgerNils (xycons.de)

    HolgerNils (xycons.de) G-WARD 2013/2014

    Registriert seit:
    29. Oktober 2011
    Beiträge:
    1.985
    Danke erhalten:
    470
    Danke vergeben:
    369
    Yepp, dieser Bereich nimmt allerdings nichts entgegen und gibt nur aus. Die Eingabebereiche im Backend überarbeite ich noch.