Beiträge von toemmel

Zitat

Original von Litschi

ach komm... warten wir noch auf die TAN-Liste

das traurige ist - die Anmeldedaten hätte man garnicht gebraucht um zu schaden

schnelll weg damit ..... ist kein spaß!

...ich muss mich jetzt erstmal hinlegen.....

Zitat

Original von toemmel

TOM schick mal den quelltext aus der request.php.... ggf. kann man nur durch reinsehen auch raten, was nicht schmeckt

(aber bitte nicht öffentlich .... das is sowiso schon eine einladung für die konkurrenz )

..und ich sags noch....

aber ein schönes Beispiel um sql-injections zu üben

ähhh... mach das weg.... nix gut wenn man sieht was der da alles 'unvorsichtig' macht..... nee wirklich nicht noch zeigen...

ich hatte es vermutet....

..und schnelll wenigstens mal nach 'phpids' googeln... reist zwar nix raus .. hilft aber etwas

wie ein verkehrsunfall -man muss hinsehen...

ADMIN ... mach das weg!

..könnte noch einiges sagen... aber das flüstere ich besser dem Pizza Man mal in's Ohr wenn ich in der Gegend bin ....aber bis hier liefert der nicht

Zitat

Original von janosch111
Hi Ho!

Ich schließe mich toemmels Forschungsergebnissen an:
Die nächste Stufe der Fehleranalyse muss serverseitig in der "request.php" stattfinden.

Vorausgesetzt, diese Datei zaubert nicht auch noch etwas mit Sessionvariablen, dann müsste der Aufruf von z.B.:
* Link von Modi gelöscht *
ein sichtbares textuelles Ergebnis aus Artikelname und Preis ergeben.

Viele Grüße,
Janosch111

Alles anzeigen

jo... wollte das bloß nicht so offen hinschreiben....

TOM schick mal den quelltext aus der request.php.... ggf. kann man nur durch reinsehen auch raten, was nicht schmeckt

(aber bitte nicht öffentlich .... das is sowiso schon eine einladung für die konkurrenz )

Das ist schon wieder so schräg , dass MUSS funktionieren

Naja - das klingt jetzt alles schlimmer wie es ist.... ich weiss ja nicht was das skript am Ende treibt... wird nix wildes sein (schreibrechte /savemode oder eine etwas in php version verschütt... hab nur versucht zu erklären was da grob abgeht....

Ich entwickele langsam achtung davor - es ist unglaublich schwer eine Dienstleistung zu verkaufen, wenn man die Gefahren kennt - und wohlmöglich dem Kunden sagt das nicht alles Gold ist was glänzt usw..

Ich habe für mich festgestellt : Bin ich in einer Sache nur oberflächlich drin, kann ich sie besser verkaufen..... (sonst nervt man den Kunden mit details -und der bekommt Angst )

Hat der db benutzer schreibrechte?? nur mal so

jo.... wie gesagt , bin bei sowas immer vorsichtig, weil da jemand ursprünglich viel arbeit rein gesteckt hat. Ein 'box-produkt' ist es bestimmt nicht, das glaube ich kann man erkennen....

ich würde jetzt in der request.php nachsehen, was in dem Zweig add so passiert - und zunächst eine testausgabe reinpacken.... die sollte dann wohl rechts auftauchen.... da wird dann so rate ich mal auch class='preis' drin stehen, damit sum() den gesamtpreis ausgibt....

so sieht man z.B., ob der aufruf richtig passiert....
und wenn ja kann man sich anschauen warum da etwas nicht funzt... kann mehrere gründe haben. dafür müsste man reinsehen

als nächstes ist dann zu prüfen ob das absenden zum schluss funktioniert....

so ein extrem client (javascript) -lastiges vorgehen sieht man eigentlich selten... für meinen geschmack sieht man schon sehr viel ohne überaupt auf dem server zu sein...

...will jetzt auch nicht drüber nachdenken ob man nicht eigentlich da .... naaaja

nachtrag - schätze es ist auf dem server.... in der request.php sollte zu finden sein -

Zitat

Original von tom1501
Die Uhrzeitsperre dient wohl dazu, das ausserhalb der Öffnungszeiten niemand was bestellen kann. Und der Shop übernimmt wie gesagt keine Preise. Die Emaileinrichtung würde ichdann fix machen.

was meinst du mit 'übernimmt wie gesagt keine Preise'...

die javasciptfunction add() ruft das request.php auf -> die sollte dann in den warenkorb etwas legen - dann etwas html zurück geben, das wird dann vom Java wieder eingefügt in den div mit der id produkte eingefügt wird und von unsichtbar nach sichtbar gebracht ....

function add(id, preis){
$('#produkte').animate({
opacity: 0.1
}, 100, function(){
$.ajax({
url: 'request.php?action=add&id='+id+'&price='+preis,
success: function(data){
$('#produkte').html(data);
sum();
$('#produkte').animate({
opacity: 1.0
}, 200);
}
});
});
}

da scheint wohl dann etwas nicht zu funktionieren...

mmh.. ich sehe gerade , dass bei

request.php/?action=add......

zumindest nichts als html baustein zurückkommt ... sieht eher so aus als sollte das eigentlich laut javascript...

was das php skript sonst anstellt (schreibt es die position in die db) kann ich so natürlich nicht sehen.....

Aja - hellsehen ist auch nicht so einfach....

erstmal diese dämliche uhrzeitsperre auskommentieren... so sieht man ja garnicht was nicht geht!!!

Was macht er denn nicht? Feuert er die bestellunhg garnicht ab?

oder schreibt das php nicht in die Datenbank? oder geht nur die e-mail an den kunden nicht raus

Problem ist : man kann da lange suchen, wenn mann pech hat....

z.Z. wird ja noch der div #bgone im oberen layer drüber gepackt, dass man nur umständlich ausprobieren kann....

aber ob es ein javascript oder php problem ist sieht man ggf. schnelll

ist alles kein Hexenwerk ....

oft ist sowas aber gerade so gemacht, dass es möglichst verschachtelt ist ... Kundenbindung eben

* Link von Modi gelöscht *

da kommen z.B. die Getränke angeflogen...

das skript pakt das dann an die vorgesehene stelle im dom

...eine komisch sache län der da....

@matYoo

glaub nicht, as da die DB irgend eine Rolle spielt .....

das php skript liefert großzügig content - durch die hintertür geht's

Naja - ichweiss ja auch nicht, was da zwischen den pizza Leuten und dem Web-Mann gelaufen ist...

Ich wär ja ggf. auch stinkig .... 'in die Haare kriegen' heißt oft ja das der liebe Kunde sparen möchrte

Können kann man bestimmt....

Ich mein das kommt mir schon ein wenig gebastelt vor... ich will jetzt nicht auf details eingehen .... aber das php skript scheint auch recht ..äh.. vertrauensselig zu sein, was man dem so da vorsetzt...

Was ist das denn für ein 'Paket' - sieht nicht sooo nach 'Paket' aus...

Hat es denn Vorher gefunzt?

Das ist garnicht "kompliziert" - was hast du denn da überhaupt gemacht ? Ist ja wohl nicht auf deinem Mist gewachsen!

Das skrpt greift halt auf die html - elemente zu und schickt das an den server

(damit das ganze dokument nicht wie bei einem normalen Formular neu geladen werden muss)

da jetzt wirklich den Fehler zu suchen ... is ja irgendwie dein Job

Was hast du denn da geändert wenn es schon mal funktionierte...
bzw. was war dein Auftrag?

Wenn du am html etwas geändert hast , kann es gut sein das es nicht mehr geht, weil die id's klassen und namen auf die zugegriffen wird nicht mehr stimmen...

..ist aber auch so nicht wirklich toll...

Was hast du denn nun gemacht? was war die aufgabe?

ähhmm...

ich weiss zwar nicht warum du das machst
ich weiss nicht was du da machst....

...und wieso du nicht verstehst was du da machst....

Auffällig ist das der. der das gemacht hat jquery läd - dann aber überhaupt nicht konsequent nutzt.... dat geht mal eleganter
(wohl auch ein frühwerk eines großen Meisters)

naja langer rede kurzer sinn - der Plan ist aus dem javascript bei diversen Aktionen ein get-request an das skript request.php auf dem server zu schicken....
(Vorgehen is bekannt geworden unter dem Schlagwort ajax )

das javagedönse validiert die eingaben und schickt den mist ab....
edit: validieren ist übertrieben....
...Über Schönheit lässt sich streiten...

die request.php ist aufjedenfalls schon mal da wo sie ist und lässt sich schön provozieren

ich glaub ich geh dann mal Autos bekleben oder Haareschneiden ...

naja - auf den ersten blick fehlten mir elemente mit der classe 'preis' im document - wenn man die nicht findet - haben die auch keine länge... können nicht durchlaufen werden....

da das jetzt zeile 2 im code ist...