Community Add-Ons

Hallo Leute,

Sorry, es gab das Sicherheits Problem immer noch. Zwar nicht mehr so aber anders.

Habe jetzt folgendes in der printorder.php ersetzt

Suche das:

if (!tep_session_is_registered('customer_id')) {
$navigation->set_snapshot();
tep_redirect(tep_href_link(FILENAME_LOGIN, '', 'SSL'));
}

$customer_number_query = tep_db_query("select customers_id from " . TABLE_ORDERS . " where orders_id = '". tep_db_input(tep_db_prepare_input($HTTP_GET_VARS['order_id'])) . "'");
$customer_number = tep_db_fetch_array($customer_number_query);
if (!tep_session_is_registered('customer_id')) {
$navigation->set_snapshot();
tep_redirect(tep_href_link(FILENAME_LOGIN, '', 'SSL'));
}
if (!isset($HTTP_GET_VARS['order_id']) || (isset($HTTP_GET_VARS['order_id']) && !is_numeric($HTTP_GET_VARS['order_id']))) {
tep_redirect(tep_href_link(FILENAME_ACCOUNT_HISTORY, '', 'SSL'));
}

$payment_info_query = tep_db_query("select payment_info from " . TABLE_ORDERS . " where orders_id = '". tep_db_input(tep_db_prepare_input($HTTP_GET_VARS['order_id'])) . "'");
$payment_info = tep_db_fetch_array($payment_info_query);
$payment_info = $payment_info['payment_info'];
/////////////////////////////////////////

und ersetze hier mit:

if (!tep_session_is_registered('customer_id')) {
$navigation->set_snapshot();
tep_redirect(tep_href_link(FILENAME_LOGIN, '', 'SSL'));
}

if (!isset($HTTP_GET_VARS['order_id']) || (isset($HTTP_GET_VARS['order_id']) && !is_numeric($HTTP_GET_VARS['order_id']))) {
tep_redirect(tep_href_link(FILENAME_ACCOUNT_HISTORY, '', 'SSL'));
}
$orders_query = tep_db_query("select orders_id from " . TABLE_ORDERS . " where orders_id = '" . tep_db_input($oID) . "'");
$customer_info_query = tep_db_query("select customers_id from " . TABLE_ORDERS . " where orders_id = '". (int)$HTTP_GET_VARS['order_id'] . "'");
$customer_info = tep_db_fetch_array($customer_info_query);
if ($customer_info['customers_id'] != $customer_id) {
tep_redirect(tep_href_link(FILENAME_ACCOUNT_HISTORY, '', 'SSL'));
}

////////////////////


Jetzt kann man die ID ruhig ändern es passiert nichts mehr.

Hall,

hier noch ein wichtiges Update.
Es gab ein Sicherheitsproblem im Contrib.

nähres steht hier
http://forums.oscommerce.de/lofiversion/index.php?t42950.html

und hier
http://forums.oscommerce.de/lofiversion/index.php?t18733.html

Ich habe das hier in die Printorder eingebunden.

if (!tep_session_is_registered('customer_id')) {
$navigation->set_snapshot();
tep_redirect(tep_href_link(FILENAME_LOGIN, '', 'SSL'));
}
if (!isset($HTTP_GET_VARS['order_id']) || (isset($HTTP_GET_VARS['order_id']) && !is_numeric($HTTP_GET_VARS['order_id']))) {
tep_redirect(tep_href_link(FILENAME_ACCOUNT_HISTORY, '', 'SSL'));
}

Danke Infobrocker für die Lösung.
Und Henning für den hinweis auf das Prob.

Update.
Kleinere Fehler behoben.

Hallo,

Um Weisser Recht zugeben. Es gibt hier einen Cod wie folgt

CODE
<link rel="stylesheet" type="text/css" href="admin/includes/stylesheetx.css">

der Code bezieht sich auf die admin Stylesheet.css
und kann in jede andere Css geändert werden.
Das wurde jetzt geändert.

Hallo,

Es ist mir fraglich wieso hier jemand sagt das es sich nicht Installieren lässt. es funktioniert doch, ohne Probleme.
Wer lesen kann ist klar im Vorteil.
Und wer schreiben kann, kann auch nachfragen.

Grüße
Aplein

Diese Contribution bedarf einiges an Überarbeitung. Sie lässt sich nicht ohne weiteres installieren, da diverse andere Contributions im Code verstreut sind.

Leeres ZIP-File hochgeladen.

Hier können sich die Kunden in ihrem Konto eine Proforma-Rechnung ausdrucken.
Bei fragen einfach mailen.

Here, the customers can print out a proforma bill for itself in her account.
With asks e-mail at alfredplein@web.de