BUG? - application_top.php

[webald]

Ich habe wieder was.

shoproot/includes/application_top.php:

Code: PHP  [Auswählen]

// load configuration
$configuration_query = xtc_db_query('select configuration_key as cfgKey, configuration_value as cfgValue from '.TABLE_CONFIGURATION);
while ($configuration = xtc_db_fetch_array($configuration_query)) {
  define($configuration['cfgKey'], stripslashes($configuration['cfgValue'])); //Web28 - 2012-08-09 - fix slashes
}
// Set the length of the redeem code, the longer the more secure
// Kommt eigentlich schon aus der Table configuration
if(SECURITY_CODE_LENGTH=='')
  define('SECURITY_CODE_LENGTH', '10');

define(SECURITY_CODE_LENGTH, '10') ist nicht gleich define('SECURITY_CODE_LENGTH', '10')

Prüft man auf das Vorhandensein einer Konstanten gibt das u. U. fehlerhafte Infos. Zu prüfen mit unten stehendem Code:

Code: PHP  [Auswählen]

// load configuration
$configuration_query = xtc_db_query('select configuration_key as cfgKey, configuration_value as cfgValue from '.TABLE_CONFIGURATION);
while ($configuration = xtc_db_fetch_array($configuration_query)) {
  define($configuration['cfgKey'], stripslashes($configuration['cfgValue'])); //Web28 - 2012-08-09 - fix slashes
}
// Set the length of the redeem code, the longer the more secure
// Kommt eigentlich schon aus der Table configuration
if(SECURITY_CODE_LENGTH=='')
  define('SECURITY_CODE_LENGTH', '10');

if (defined(SECURITY_CODE_LENGTH)){echo ' SECURITY_CODE_LENGTH1: '.SECURITY_CODE_LENGTH;}
if (defined('SECURITY_CODE_LENGTH')){echo ' SECURITY_CODE_LENGTH2: '.SECURITY_CODE_LENGTH;}

Ich habe das noch nicht geprüft, aber befürchte, dass dies in weiteren Dateien im Shop ähnlic ungenaus sein dürfte.

Linkback: https://www.modified-shop.org/forum/index.php?topic=32400.0

[web0null]

Das existieren einer Konstante wird so geprüft:

Code: PHP  [Auswählen]

if(defined('SECURITY_CODE_LENGTH')){
  ...
}

Code: PHP  [Auswählen]

if(SECURITY_CODE_LENGTH = '')

Prüft den Inhalt der Konstante, wenn die Konstante nicht angelegt ist, würde der Inhalt "SECURITY_CODE_LENGTH" sein.

Code: PHP  [Auswählen]

defined(SECURITY_CODE_LENGTH)

habe ich auch schon öfter gesehen, ist aber falsch.

[webald]

Code: PHP  [Auswählen]

defined(SECURITY_CODE_LENGTH)

habe ich auch schon öfter gesehen, ist aber Falsch.

Tja, aber genauso werden im Shop die Config-Daten aus der Datenbank angelegt.

Siehe application_top.php:

Code: PHP  [Auswählen]

// load configuration
$configuration_query = xtc_db_query('select configuration_key as cfgKey, configuration_value as cfgValue from '.TABLE_CONFIGURATION);
while ($configuration = xtc_db_fetch_array($configuration_query)) {
  define($configuration['cfgKey'], stripslashes($configuration['cfgValue'])); //Web28 - 2012-08-09 - fix slashes
}

[web0null]

Tja, aber genauso werden im Shop die Config-Daten aus der Datenbank angelegt.

Was hat das jetzt damit zu tun?
Das eine ist die function "defined" zum prüfen, und das andere ist die function "define" zum anlegen.

So jetzt was zum nachdenken,

Folgendes wäre genauso korrekt,

Code: PHP  [Auswählen]

define('TEST', 'NEU_TEST');
define(TEST, 'neu_test');
if (defined('NEU_TEST')) {
  echo('<pre>'.print_r(NEU_TEST, true).'</pre><hr />');
}
define('NEU_TEST4', 'neu_test4');
define('NEU_TEST2', 'NEU_TEST3');
define(NEU_TEST2, 'NEU_TEST4');
if (defined(NEU_TEST3)) {
  echo('<pre>'.print_r(NEU_TEST4, true).'</pre><hr />');
}

 

[webald]

Teste:

Code: PHP  [Auswählen]

  //define('SECURITY_CODE_LENGTH', '10');
  define(SECURITY_CODE_LENGTH, '20');

if (defined(SECURITY_CODE_LENGTH)){echo ' SECURITY_CODE_LENGTH1: '.SECURITY_CODE_LENGTH;}
if (defined('SECURITY_CODE_LENGTH')){echo ' SECURITY_CODE_LENGTH2: '.SECURITY_CODE_LENGTH;}
 

Ergebnis:

Notice: Use of undefined constant SECURITY_CODE_LENGTH - assumed 'SECURITY_CODE_LENGTH' in D:\apache\xampp181\htdocs\xtc\test2.php on line 4
SECURITY_CODE_LENGTH2: 20

Code: PHP  [Auswählen]

 define('SECURITY_CODE_LENGTH', '10');
  define(SECURITY_CODE_LENGTH, '20');

if (defined(SECURITY_CODE_LENGTH)){echo ' SECURITY_CODE_LENGTH1: '.SECURITY_CODE_LENGTH;}
if (defined('SECURITY_CODE_LENGTH')){echo ' SECURITY_CODE_LENGTH2: '.SECURITY_CODE_LENGTH;}
 

Ergebnis:

SECURITY_CODE_LENGTH1: 10 SECURITY_CODE_LENGTH2: 10

Code: PHP  [Auswählen]

  define('SECURITY_CODE_LENGTH', '10');
  define('SECURITY_CODE_LENGTH', '20');

if (defined(SECURITY_CODE_LENGTH)){echo ' SECURITY_CODE_LENGTH1: '.SECURITY_CODE_LENGTH;}
if (defined('SECURITY_CODE_LENGTH')){echo ' SECURITY_CODE_LENGTH2: '.SECURITY_CODE_LENGTH;}
 

Ergebnis:

Notice: Constant SECURITY_CODE_LENGTH already defined in D:\apache\xampp181\htdocs\xtc\test2.php on line 4
SECURITY_CODE_LENGTH2: 10

[web0null]

define('SECURITY_CODE_LENGTH', '10');
define(SECURITY_CODE_LENGTH, '20');

Das bedeutet das selbe wie,

Code: PHP  [Auswählen]

define('SECURITY_CODE_LENGTH', '10');
define('10', '20');
 

Wäre zwar von Schreibweise korrekt (bis auf das, dass eine Konstante mit einem Buchstaben oder Unterstrich beginnen muss), aber in dem Fall nicht gewollt,

So wie ich oben angeführt habe, kann es solche Konstellationen geben.

In dem Fall deines ersten Beispiels ist ein

Code: PHP  [Auswählen]

defined(SECURITY_CODE_LENGTH)

Falsch, in dem sinne das etwas anderes geprüft werden sollte.

In diesem konkreten Fall:
Wenn "SECURITY_CODE_LENGTH" in der DB steht mit "10"

Würde ein

Code: PHP  [Auswählen]

defined(SECURITY_CODE_LENGTH)
 

dasselbe bedeuten wie,

Code: PHP  [Auswählen]

defined('10')
 

Wenn "SECURITY_CODE_LENGTH" nicht in der DB steht (also auch nicht definiert wird)

Würde ein

Code: PHP  [Auswählen]

defined(SECURITY_CODE_LENGTH)
 

dasselbe bedeuten wie,

Code: PHP  [Auswählen]

defined('SECURITY_CODE_LENGTH')
 

In diesem Fall ist es aber nicht gewollt Den INHALT von "SECURITY_CODE_LENGTH" zu prüfen sondern, ob eine Konstante mit dem Namen "SECURITY_CODE_LENGTH" besteht.

[webald]

Du hast den Code oben schon gesehen?

Code: PHP  [Auswählen]

// load configuration
$configuration_query = xtc_db_query('select configuration_key as cfgKey, configuration_value as cfgValue from '.TABLE_CONFIGURATION);
while ($configuration = xtc_db_fetch_array($configuration_query)) {
  define($configuration['cfgKey'], stripslashes($configuration['cfgValue'])); //Web28 - 2012-08-09 - fix slashes
}
// Set the length of the redeem code, the longer the more secure
// Kommt eigentlich schon aus der Table configuration
if(SECURITY_CODE_LENGTH=='')
  define('SECURITY_CODE_LENGTH', '10');

Im Prinzip steht da doch:

Code: PHP  [Auswählen]

define(SECURITY_CODE_LENGTH, '');
if(SECURITY_CODE_LENGTH=='')
  define('SECURITY_CODE_LENGTH', '10');

Prüft man nun die Konstante etwa mit

Code: PHP  [Auswählen]

if (defined(SECURITY_CODE_LENGTH)){echo ' SECURITY_CODE_LENGTH1: '.SECURITY_CODE_LENGTH;}
if (defined('SECURITY_CODE_LENGTH')){echo ' SECURITY_CODE_LENGTH2: '.SECURITY_CODE_LENGTH;}

kommt als Ergebnis:

SECURITY_CODE_LENGTH2: 

Ist auch logisch, Konstanten kann man nicht mit neuen Werten belegen. Die Kontrolle läuft damit ins Leere.

Code: PHP  [Auswählen]

while ($configuration = xtc_db_fetch_array($configuration_query)) {
        $cfgkey="'".$configuration['cfgKey']."'";
        $cfgvalue="'".stripslashes($configuration['cfgValue'])."'";
        define($cfgkey,$cfgValue); //Web28 - 2012-08-09 - fix slashes
        //define($configuration['cfgKey'], stripslashes($configuration['cfgValue'])); //Web28 - 2012-08-09 - fix slashes
}

führt beim Aufruf von shoproot/index.php übrigens zur bekannten weißen Seite. Irgendwo in templates/xtc5/source/boxes.php steigt er da aus. Bis jetzt habe ich aber keine Ahnung warum. Spielt aber erstmal keine Rolle.

[web0null]

Du hast den Code oben schon gesehen?

Ja habe ich,
...du hast ihn aber nicht verstanden.

Das

Code: PHP  [Auswählen]

define($configuration['cfgKey'], stripslashes($configuration['cfgValue']));

bedeutet nicht,

Code: PHP  [Auswählen]

define(SECURITY_CODE_LENGTH, '???');

sondern es bedeutet,

Code: PHP  [Auswählen]

define('SECURITY_CODE_LENGTH', '???');

Und das

Code: PHP  [Auswählen]

if(SECURITY_CODE_LENGTH=='')
  define('SECURITY_CODE_LENGTH', '10');

muss so lauten,

Code: PHP  [Auswählen]

if(!defined('SECURITY_CODE_LENGTH'))
  define('SECURITY_CODE_LENGTH', '10');

..und wenn noch geprüft werden soll ob der Inhalt >0 ist, müsste man das noch in der schleife prüfen (und ggf. den Wert dort berichtigten), weil eben eine Konstante nicht überschrieben werden kann.

Und nochmal...
folgendes,

Code: PHP  [Auswählen]

 
if (defined(SECURITY_CODE_LENGTH)){echo ' SECURITY_CODE_LENGTH1: '.SECURITY_CODE_LENGTH;}

bedeutet das selbe wie folgendes (wenn der Wert z.B. in der DB mit "10" steht),

Code: PHP  [Auswählen]

 
if (defined('10')){echo ' SECURITY_CODE_LENGTH1: '.SECURITY_CODE_LENGTH;}

eine Konstante mit der Bezeichnung "10" (bzw. was auch immer der wert ist) gibt es nicht.

[hpzeller]

Hallo webald

Vieleicht hilft folgendes:

Syntax richtig

Code: PHP  [Auswählen]

$key = 'GREETING';
$value = 'Hallo Leute';

define($key, $value);
define('GREETING', 'Hallo Leute');
 

Syntax falsch

Code: PHP  [Auswählen]

$key = 'GREETING';
$value = 'Hallo Leute';

define('$key', '$value');
define("$key", "$value");
define(GREETING, 'Hallo Leute');
 

Der folgende Code, da hast Du recht, ist Quatsch

Code: PHP  [Auswählen]

if(SECURITY_CODE_LENGTH=='')
  define('SECURITY_CODE_LENGTH', '10');
 

Gruss
Hanspeter

[web0null]

Das wäre nicht falsch.

Code: PHP  [Auswählen]

$key   = 'GREETING';
$value = 'Hallo Leute';
define("$key", "$value");
 

[hpzeller]

Das stimmt  natürlich!

Gruss
Hanspeter

[webald]

Ich geb mich ja geschlagen...

Ich bin da nur hängen geblieben, weil ich die gesamte Konfigurtion aus der Tabelle configuration in eine Datei speicher, da man diese auch im Fehlerfall lesen kann. Die Datenbank mi der Konfiguration drin aber nicht unbedingt, womit auch Einstellung wie SMTP, Admin-Mailadresse o. ä. nicht zugänglich sind. Stattdessen produziert der Shop nur  eine Meldung "Es ist ein Fehler augetreten". Der Kunde kann keine Mail an den Admin senden (hat je keine Daten) und auch eine Auto-Mail geht nicht, da diese Daten ja fehlen.

[web28]

So steht es bereits in der zukünftigen Version:

Code: PHP  [Auswählen]

    if(!defined('SECURITY_CODE_LENGTH'))
      define('SECURITY_CODE_LENGTH', '10');

Gruss Web28

[noRiddle (revilonetz)]

Hier ist aber jetzt einiges durcheinander.
Die Frage ist auf was man hier testen möchte.

Code: PHP  [Auswählen]

define('FOO', '');

if (defined('FOO')) {
    echo 'FOO is defined<br />'; // gibt aus: FOO is defined
    if (FOO) {
        echo 'FOO is not empty<br />';
    }
    else {
        echo 'FOO is empty<br />'; // gibt aus: FOO is empty
    }
    if(FOO == '') {
        echo 'FOO is empty<br />'; // gibt aus: FOO is empty
    }
}
else {
    echo 'FOO is not defined<br />';
}

Will man also abbfragen ob FOO ein leerer String ist ist das ursprüngliche

Code: PHP  [Auswählen]

if(SECURITY_CODE_LENGTH == '') { ...

korrekt,
oder eben einfach

Code: PHP  [Auswählen]

if (!FOO) { ...

weil, wenn die Konstante mit einem leeren String definiert ist Boolean 'false' return-t wird.

Die Abfrage die du, web28, hier schreibst gibt 'true' aus, weil auch bei einem leeren String die Konstante definiert ist.

Gruß,
noRiddle

[web0null]

Will man also abbfragen ob FOO ein leerer String ist ist das ursprüngliche

Code: PHP  [Auswählen]

if(SECURITY_CODE_LENGTH == '') { ...

korrekt,

Nee, das ursprüngliche schaut im ganzen so aus:

Code: PHP  [Auswählen]

if(SECURITY_CODE_LENGTH=='')
  define('SECURITY_CODE_LENGTH', '10');

Man wollte hier prüfen ob es die Konstante gibt, sonst wäre kein define() bei Nichterfüllung.

Denn in dem Falle dass die Konstante definiert wäre, und man "nur" prüfen wollte ob sie "leer" ist, würde man so nichts erreichen, da man eine Konstante nicht überschreiben kann.

Wie ich oben schon schrieb, wenn man prüfen will ob ein Wert eingetragen ist, müsste man das machen bevor man die Konstante definiert.

Gruß