Kunde wird plötzlich zum Admin

[Anonym]

Hallo,

ich bin zwar im Original-Quellcode schon mal über die Stelle gestolpert, aber dann wieder vergessen bis ich das hier gelesen habe:
http://www.blogpotato.de/2007/01/12/ohne-worte/

Unter gewissen Umständen, wussten die Entwickler damals selbst nicht, deswegen der tolle Kommentar in der create_account.php wurde ein Kunde nach der Registrierung zum Admin.
In der Version von Christian ist der Kommentar nicht mehr enthalten.

Code: PHP  [Auswählen]

//don™t know why, but this happens sometimes and new user becomes admin

Kennt Ihr das Problem, oder hatte es schon mal jemand ?
Noch wichtiger, gibts dazu eine Lösung oder ist es schon behoben ?

Ansonsten kann das auch mal sehr übel ausgehen, wenn ein Kunde sich austobt.

Viele Grüße



Linkback: https://www.modified-shop.org/forum/index.php?topic=722.0

[Anonym]

Wenn ein Shopbetreiber im Admin die Kundengruppen unter MEIN SHOP verstellt und dort nicht aufpasst, dann wird der Neukunde zum Admin. Mehr ist mir nicht bekannt.

[Anonym]

Guten Morgen Christian,

Nee, das ist ja klar, wenn jemand so dumm ist einem Kunden direkt oder indirekt (was du angespielt hast) Admin-Rechte gibt, dann kann man dem Shop-Betreiber wirklich nicht helfen.
Doch darum geht es hier nicht, lies bitte kurz den Blog. Steht eh ned viel drin.

Kannst auch ein Original xt-Commerce nehmen, dort ist der Kommentar der xtc Entwickler drin. Die haben deren Bug selber nicht gefunden.
Es wird gemunkelt siehe auch Kommentar in dem Blog, dass wenn verschiedene Zustände gleichzeitig bzw. in einer bestimmten Reihenfolge passieren, dass man dann automatisch durch nen Bug im Shop zum Admin wird.

Bevor ichs hier erkläre, besser als es dort geschrieben ist, kann ichs auch ned

[Anonym]

Hab grad mal die Original XTC rausgekramt, da steht es in der create_account.php ab Zeile 212 genau so wie der im Blog schreibt:

Code: PHP  [Auswählen]

        //don't know why, but this happens sometimes and new user becomes admin
        if ($customers_status == 0 || !$customers_status)
                $customers_status = DEFAULT_CUSTOMERS_STATUS_ID;
 

Der Bereich ist eigentlich mit deiner identisch, nur das der Kommentar fehlt, also wahrscheinlich nicht gefixt. Sorry, ist ne wichtige Sache, muss geklärt werden. Evtl. weis jemand mehr dazu.

[Anonym]

Ja dann fix doch auch mal was.. das würde auch mich dann mal endlich unterstützen.

[Anonym]

Hab heute morgen schon gesucht, doch ein angebliches Fix, sah genau so aus wie der Originalcode.
Ansonsten bin ich da der falsche Ansprechpartner, wenn das nicht mal Herr X und Herr Y von xtc hinbekommen.

[guensi]

Ich hab dazu auch nur ein Workaround gefunden - den Adminbereich per htaccess verschlüsseln. Aber das kanns doch wohl nicht sein, auch noch zweimal ein Passwort eingeben zu müssen? Der htaccess wird ja den normalen Anmeldevorgang wohl nicht überbrücken oder?

Dieses Problem konnte ich bis jetzt auch noch nicht nachvollziehen - allerdings hab ich auch noch keine 400 Anmeldungen vorgenommen.

Wär aber schon wichtig zu wissen ob das Problem auch in der modified Version besteht.

[Anonym]

Laut Recherche und Aussagen aus Foren wurde das Problem in der 304 SP2.1 behoben und diese wurde verwendet um die modified aufzubauen. Lediglich bei SP1 solles GELEGENTLICH dazu kommen.

[guensi]

Danke Christian, das beruhigt.