id	summary	reporter	owner	description	type	status	priority	milestone	component	version	resolution	keywords	cc	blockedby	blocking
1626	Undefinierte Variable in Query in /admin/includes/modules/orders_listing.php	noRiddle	somebody	"... und weiterer Fehler.

'''Problem 1:'''
In im Titel genannter Datei gibt es folgende Query:
{{{
                } elseif ($action == 'search' && $customer) {
                  $orders_query_raw = ""-- /admin/orders.php
                                       SELECT "".$order_select_fields.""
                                         FROM "".TABLE_ORDERS."" o
                                        WHERE o.orders_status = '"".(int)$status.""'
                                          AND (o.customers_name LIKE '%"".xtc_db_input($customer).""%'
                                           OR o.customers_firstname LIKE '%"".xtc_db_input($customer).""%'
                                           OR o.customers_lastname LIKE '%"".xtc_db_input($customer).""%'
                                           OR o.customers_company LIKE '%"".xtc_db_input($customer).""%')                       
                                              "".$filter.$sort;
                } else {
}}}

''$status'' ist allerdings lediglich in der darüberligenden else-Clause definiert und steht in der zitierten nicht zur Verfügung.


'''Problem 2:'''
In diesem Code
{{{
$filter .=  isset($_GET['payment']) && $_GET['payment'] != '' ? "" AND o.payment_class = '"" . $_GET['payment'] .""'"": '';
}}}

ist 
{{{
$_GET['payment']
}}}
nicht gegen SQL-Injection geschützt. Ist zwar der Admin-Bereich, sollte man aber trotzdem fixen:
{{{
$filter .=  isset($_GET['payment']) && $_GET['payment'] != '' ? "" AND o.payment_class = '"" . xtc_db_input($_GET['payment']) .""'"": '';
}}}

(Weiß gerade nicht ob es einen automatischen Input-Filter für GET und POST wie im Frontend gibt...)

Gruß,
noRiddle

"	Bug/Fehler	closed	normal	modified-shop-2.0.5.0	Admin	2.0.4.2	fixed