Neu URL Weiterleitung JTL Shop 4 Plugin - DB Verbindung, wie?

[Horus Sirius]

Plugin Aufbau:

/includes/plugins/jbm_newsletter/version/101/frontend/

Datei:
jbm_weiterleitung.php

Gehört zu
/includes/plugins/jbm_newsletter/version/101/frontend/template/jbm_weiterleitung.tpl

AUS: http://docs.jtl-shop.de/de/latest/shop_plugins/hinweise.html

$i = $GLOBALS['NiceDB']->executeQuery("
INSERT INTO my_table
('id', 'text', 'foo')
VALUES (" . $_POST['id'] . ", '" . $_POST['text'] . "', '" . $_POST['foo'] . "')", 3
);

Wieso erhalte ich die Fehlermeldung:

Fatal error: Uncaught Error: Call to a member function executeQuery() on null in jbm_weiterleitung.php

 

[css-umsetzung]

Aus welcher Steinzeit ist das denn?

$i = $GLOBALS['NiceDB']->executeQuery("
INSERT INTO my_table
('id', 'text', 'foo')
VALUES (" . $_POST['id'] . ", '" . $_POST['text'] . "', '" . $_POST['foo'] . "')", 3
);

Das nenne ich ja mal nen sichern SQL Query.... Du hast schon gelesen, das du Shop:B()-> verwenden sollst?
Im 5er Shop ist das dann auch noch mal geändert.

Insbesondere bei der Behandlung von Nutzereingaben ist es fahrlässig, unbehandelte POST- oder GET-Parameter direkt in SQL-Queries zu integrieren. Falls es sich bei der Spalte id um einen numerischen Datentyp handelt, sollte zumindest ein INT-Cast vorgenommen werden, bspw. via (int)$_POST['id'].

Kein Mensch weiß was du da machst, das was du zeigst sieht komisch aus, viel wichtiger wäre es also zu wissen was in jbm_weiterleitung.php wirklich steht und wer diese Datei überhaupt included.

 

[NETZdinge.de]

der Aufruf ist aus Shop 3... und ja, eine Einladung für Hacker...

 

[david]

Darum ist das kopierte Snippet auch als "Unsichere Variante" in der Doku gelistet --> so sollte man es NICHT machen

 

[Horus Sirius]

Aus welcher Steinzeit ist das denn?

$i = $GLOBALS['NiceDB']->executeQuery("
INSERT INTO my_table
('id', 'text', 'foo')
VALUES (" . $_POST['id'] . ", '" . $_POST['text'] . "', '" . $_POST['foo'] . "')", 3
);

Das nenne ich ja mal nen sichern SQL Query.... Du hast schon gelesen, das du Shop:B()-> verwenden sollst?
Im 5er Shop ist das dann auch noch mal geändert.




Kein Mensch weiß was du da machst, das was du zeigst sieht komisch aus, viel wichtiger wäre es also zu wissen was in jbm_weiterleitung.php wirklich steht und wer diese Datei überhaupt included.

Vielen Dank, stand aufn Schlauch! =D

Ja echt 2- Zeilen tiefer steht echt die Lösung: (AUS: http://docs.jtl-shop.de/de/latest/shop_plugins/hinweise.html )

$obj = new stdClass();
$obj->tArtikel_id = $strkArtikel;
$obj->cURL = $strPathURL;
$i = Shop:B()->insert('jbm_newsletter', $obj);

Funktioniert, habe früher aber diese $GLOBALS['NiceDB'] schon gesehen, deshalb kam es mir bekannt vor...sollte mal aus der Doku gelöscht werden in 4.06.11 funktioniert EIN GLÜCK geht das Beispiel nicht, meine nächste Frage wäre gewesen wie ich das hier verwende:

mysqli_real_escape_string ( mysqli $link , string $escapestr ) : string

Gehe davon aus, das jetzt alle Parameter dadurch gejagt werden (OOB-Stil, wohl eher).

Ich muss also nix mehr escapen, richtig? "Bessere Variante: " heißt nicht SQL-Injektion Safe, traute sich keiner zu schreiben?

 

[Horus Sirius]

der Aufruf ist aus Shop 3... und ja, eine Einladung für Hacker...

$obj = new stdClass();
$obj->id = (int) $_POST['id'];
$obj->text = $_POST['text'];
$obj->foo = $_POST['foo'];
$i = Shop:B()->insert('my_table', $obj);

ist die "Bessere Variante" denn SQL-Injection Safe?

 

[Horus Sirius]

Darum ist das kopierte Snippet auch als "Unsichere Variante" in der Doku gelistet --> so sollte man es NICHT machen

Bitte löschen wird gar nicht mehr Unterstützt....4.0.6.11

edit:OK, das alte Zeug war JTL Shop3, ah daher kannte ich es =D