Falsche Session nach Anmeldung aufgrund unterbrochener Verbindung zur Datenbank

[mail@…]

In einem frischen modified eCommerce "konnten sich keine neuen Kunden Anmelden (Gast und Konto) und bekamen einen Fehler angezeigt", so die Meldung von einem Kunden.

Mit Fehlerausgabe erhielt ich im Shop bei der Anmeldung eines neuen Kontos ebenfalls die Meldung:

0 -

INSERT INTO customers_info (customers_info_id, customers_info_number_of_logons, customers_info_date_account_created) VALUES ('0', '0', now())

[MOD SQL Error]

Das zu erstellende Konto war damit ungültig und in der Session wurde die 'customer_id' 0 gesetzt! Einige Kunden sollen sogar alle (!!!) Bestellungen des Shops gesehen haben nachdem sie den "zurück"-Buttons des Browser benutzt haben.

Die Lösung war eine Anpassung der Funktion 'xtc_db_insert_id':

function xtc_db_insert_id($link = 'db_link') {
  global $$link;
  return mysql_insert_id($$link);
}

Diesen fahler habe ich zum ersten mal erhalten, wobei das nicht der erste Shop ist, den ich aufgesetzt habe. Warum die Verbindung zur Datenbank unterbrochen wurde, bzw. eine falsche Verbindung in der Funktion 'mysql_insert_id' verwendet wurde kann ich mir nicht erklären, denke jedoch das dieser Fehler ein kleines Sicherheitsproblem ist wenn der neue Kunde wirklich alle Bestellungen sehen konnte und eventuell sogar die Session eiens Administrators zugewiesen bekam.

Bei weiteren Fragen bin ich gerne zu erreichen, meine Kontaktdaten solltet ihr finden ;-)

Besten Gruß,
Timo

[Gerhard Waldemair]

das ist bereits in 2.00 so umgesetzt