In allen OXID eShops bis einschließlich Version 4.4.1 gibt es einen, nicht ganz unrelevanten, Bug.

Wer keine Lust oder Zeit hat auf die 4.4.2 upzudaten, kann entweder das Adminverzeichnis mit einem HTACCESS-Schutz absichern, oder einfach folgenden Bugfix benutzen.

Datei: /admin/login.php

Methode: public function checklogin()

alter Code:

$this->addTplParam( ‘user’, $sUser );
$this->addTplParam( ‘pwd’, $sPass );
$this->addTplParam( ‘profile’, $sProfile );

ersetzen mit:

$oStr = getStr();
$this->addTplParam( ‘user’, $oStr->htmlspecialchars( $sUser ) );
$this->addTplParam( ‘pwd’, $oStr->htmlspecialchars( $sPass ) );
$this->addTplParam( ‘profile’, $oStr->htmlspecialchars( $sProfile ) );

Link zum offiziellen Security Bulletin: http://wiki.oxidforge.org/Security_bulletins/2010-003

Programmierung bugfix, oxid, security

Der Ein oder Andere hat sich eventuell schon die neuen OXID eShop (Community Edition) in der Version 4.3.0 installiert.

Alles schön und gut, setzt man jedoch auf Module von Drittanbietern werden diese evtl. nicht mehr funktionieren. Beim Aufruf dieser (im Admin) kommt man auf einmal wieder zum Administrationslogin.

Wieso? Das hängt mir einer kleinen, aber feinern, Veränderung zusammen, die leider nur halbherzig mitgeteilt wurde.

Normalerweise wird beim Klick auf einen Navigationspunkt im Admin ein Frameset aufgerunfen, welches folgenden Tag im Link enthält

[{$shop->selflink}]?[{ $editurl }]

Ändert man dies nun ab, auf

[{$shop->selflink}]&[{ $editurl }]

Dies hängt mit der, seit 4.3.0, neu eingeführen Adminvariable sToken zusammen.

Programmierung admin, bugfix, oxid, stoken, update