BUGFIX: Sicherheitslücke in google_sitemap.php

[Guenter59]

Du rufst die sitemap.html auf?
Wahrscheinlich die sitemap.php aus dem Backend oder?

Schick mal die gesamte Fehlermeldung. Da müßte eigentlich noch etwas mehr stehen.

Gruß
Günter

[MrHonk]

Nein nicht Backend, Backend funktioniert alles wie es aussieht einwandfrei. Nur wenn ich frontend dann die sitemap.html aufrufen will, kommt die fehlermeldung. Vorher hat es funktioniert.

[Guenter59]

Hey
Die beiden Dateien haben eigentlich nichts miteinander zu tun.
Das eine ( die mit der Sicherheitslücke ) ist dir google-sitemap ( sitemap.xml im root ordner)
Das andere ( sitemap.html ) ist die sitemap für die Seite.

Da hast Du irgendwie was verplant.

Gruß Günter

[MrHonk]

Hallo Günther,

danke. Ok dachte die hätten miteinander zu tun. Weil das Problem erst danach auftauchte. Vorher lief sie ja, da ich das Geprüft habe.

Vielen Dank.

[Guenter59]

@MrHonk
Der Fehler liegt wahrscheinlich in

includes/classes/main.php

Da gibt es diese Datenbankabfrage und da muß irgendwie das merkwürdige
Ž content_heading
drin sein.
Das soll aber nur content_heading heissen

Gruß
Günter

[Guenter59]

@MrHonk

Dann müßte der Fehler aber auch in den anderen Content-Seiten sein ( AGB,Impressum etc )

Gruß
Günter

[MrHonk]

Ooooh ja jetzt sehe ich es auch. Du hast da vollkommen Recht. Jetzt ist die Frage woher dieser Fehler kommt. Ich denke ich mache mal neues Thema auf, das passt ja garnicht mehr hier rein.

Vielen Dank.

[Guenter59]

@MrHink
guck mal in die von mir gepostete Datei

includes/classes/main.php

ca. Zeile 169

Da müßte es stecken

Günter

[MrHonk]

Günther, welche gepostete Datei meinst du den??

Das wäre jetzt aus meiner Datei der Teil:

Code: PHP  [Auswählen]

  function getContentData($coID) {
    $group_check = (GROUP_CHECK == 'true') ? "AND group_ids LIKE '%c_" . $_SESSION['customers_status']['customers_status_id'] . "_group%'" : '';
    $shop_content_query = xtc_db_query("-- includes/classes/main.php
                                       SELECT content_title,
                                              content_heading,
                                              content_text,
                                              content_file
                                         FROM " . TABLE_CONTENT_MANAGER . "
                                        WHERE content_group='". (int)$coID ."'
                                              " . $group_check . "
                                          AND languages_id='" . (int)$_SESSION['languages_id'] . "'
                                        LIMIT 1
                                      ");    
    return xtc_db_fetch_array($shop_content_query);    
  }
 

Wobei ich sagen muss, das ich an dieser Datei nichts gemacht habe. Ich habe Local einmal den Shop Ver. 1.06 in der letzten Ausgabe installiert. Und alle geänderten Dateien, habe ich in einem Separaten Ordner. Sobald eine neue hinzukommt, kopiere ich diese auch rein. Und die includes/classes/main.php ist nicht dabei. Also habe ich dort keine Modifikation vorgenommen.

Änderung:

Anbei kurze Screenshoots von den bis jetzt geänderten Dateien:

[Guenter59]

Ich meinte diese von Dir durchgeguckte Datei.
Die hatte ich vorher schon einmal gepostet.
-------------
Das sieht aber alles richtig aus, da müßte man dann noch mal genauer gucken woran es liegt.

Ich melde mich noch mal, muß erstmal was tun. Kannst aber auch einen neuen Beitrag machen, ich guck dann mit

Günter

[MrHonk]

Guten Abend Günther,

vielen Dank für deine Hilfe. Ich habe das Problem gelöst. Ich habe erst mal nach uns nach eine Datei nach der anderen ersetzt, bis der Inhalt wieder angezeigt worden ist. Nach dem ich schon mal den Übeltäter finden konnte, habe die die aktuelle Datei mit einer alten Verglichen (Gott sei dank mache ich viele Sicherungen ) und whola der fehler war nur ein komme irgendwo mit eingefügt.

Vielen herzlichen Dank für deine Hilfe.

[Guenter59]

@MrHonk

Jo,alles klar.
Dann viel Glück und gute Geschäfte

Günter

[Wemheuer]

Ich bin nun etwas verwirrt. Nach folgendem Post habe ich bei mir auch die google_sitemap.php gecheckt.

BUGFIX für Downloads vor dem 13.06.2014:

Suche nach:

Code: PHP  [Auswählen]

        $string = sprintf(SITEMAP_ENTRY, xtc_href_link(FILENAME_DEFAULT, 'cPath='.$cat_data['categories_id'].$lang_param, 'NONSSL', false), iso8601_date($date));

Ersetze mit:

Code: PHP  [Auswählen]

        $catPath = xtc_get_category_path($cat_data['categories_id']);
        $string = sprintf(SITEMAP_ENTRY, xtc_href_link(FILENAME_DEFAULT, 'cPath='.$catPath.$lang_param, 'NONSSL', false), iso8601_date($date));

In der von Ende März und der gerade eben runtergeladen full install stehen bei mir in den Dateien folgendes:

Code: PHP  [Auswählen]

$cPath_new = xtc_category_link($cat_data['categories_id'], $cat_data['categories_name']);
$string = sprintf(SITEMAP_ENTRY, xtc_href_link(FILENAME_DEFAULT, $cPath_new), PRIORITY_CATEGORIES, iso8601_date($date), CHANGEFREQ_CATEGORIES);

 

[Tomcraft]

Die Datei hat sich in den verschiedenen Versionen mehrmals geändert.
Lade dir bitte einfach den verlinkten Fix runter. Die Datei funktioniert für alle Shopversionen.

Grüße

Torsten

[Wemheuer]

Die aus dem 1. Post mit der id=79?
Da steht das selbe drin.

Also funktioniert Beides? Dein Quote mit suche und ersetze, sowie die verlinkte Datei?
Weil unterschiedlich ist es ja doch.