emi Posted October 3, 2008 Share Posted October 3, 2008 ecco un altro modulo che potrebbe servire, oltre ad essere molto interessante per molti e-commerce..un sistema che permette di esprimere una preferenza, un voto, ai prodotti sull'eshop.i ringraziamenti vanno all'utente vinoalvino blockvote.zip Link to comment Share on other sites More sharing options...
pergame Posted October 3, 2008 Share Posted October 3, 2008 Hi there EmiThanks for this great contrib.As i heard some customer review sistem will be in v1.1.The module is great...a single thing will mahe it nicer-do you think that this module could be integrated in product tabs?not in the left or right side?Thanks Link to comment Share on other sites More sharing options...
emi Posted October 4, 2008 Author Share Posted October 4, 2008 Hi there EmiThanks for this great contrib.As i heard some customer review sistem will be in v1.1.The module is great...a single thing will mahe it nicer-do you think that this module could be integrated in product tabs?not in the left or right side?Thanks hi ..we must await the user "vinoalvino" and its implementation in the form and knows him so I think it is the best person to answer to your question.Then maybe during the day the test better and better I will be useful in responding well myself.Emilio greetings Link to comment Share on other sites More sharing options...
vinoalvino Posted October 4, 2008 Share Posted October 4, 2008 Hi there EmiThanks for this great contrib.As i heard some customer review sistem will be in v1.1.The module is great...a single thing will mahe it nicer-do you think that this module could be integrated in product tabs?not in the left or right side?Thanks Yes I'm working to do that ... please report bug for this versionP.S.: è bello avere un forum tutto nostro per parlare finalmente male inglese senza vergorgnarsi ;-) Link to comment Share on other sites More sharing options...
Nicodemo Posted October 4, 2008 Share Posted October 4, 2008 Credo per implementarlo nel foote dovresti creare un secondo tpl del vote che ià più largo rispetto a quelo dei bocchi o sbaglio?Comunqu grande... Link to comment Share on other sites More sharing options...
vinoalvino Posted October 4, 2008 Share Posted October 4, 2008 L'idea è quella di lasciare il modulo voto in una colonna con dei link tipo: "migliori prodotti", "migliori nella categoria" che visualizzano l'elenco dei prodotti al centro tipo bestsellers. Per ora mi farebbero più piacere segnalazioni di problemi che lodi sperticate ... testate il modulo please Link to comment Share on other sites More sharing options...
Nicodemo Posted October 5, 2008 Share Posted October 5, 2008 lo ho provato il modulo e và bene!!! Link to comment Share on other sites More sharing options...
vinoalvino Posted October 5, 2008 Share Posted October 5, 2008 No, non ci posso credere di non aver scritto nessuno sfondone in inglese! Dai fatemi il favore di verificare quanto scritto in inglese di sicuro ci sono svariati maccheronismi. Link to comment Share on other sites More sharing options...
vinoalvino Posted October 5, 2008 Share Posted October 5, 2008 There are security problems in your module ... :gulp: :gulp: :gulp: :gulp: :gulp: :gulp: :gulp: Per informazioni seguite questo topic Link to comment Share on other sites More sharing options...
Nicodemo Posted October 5, 2008 Share Posted October 5, 2008 si ho letto il topic ma non ti dice quale e dove sia il problema di sicurezza Link to comment Share on other sites More sharing options...
Nicodemo Posted October 6, 2008 Share Posted October 6, 2008 You doesn't parse all your var before making requests to database ….Questo è quello che dice nel topic, ma non capisco cioè lui in poche prole dice che nn bisogna far prima analizzare i var prima della richiesta al database!!! qualche suggerimento anche per aiutare vino al vino!!!! Link to comment Share on other sites More sharing options...
FaRes Posted October 6, 2008 Share Posted October 6, 2008 You doesn’t parse all your var before making requests to database ….Significa: non effettui il parsing delle variabili prima di inviare le richieste al database. Informazioni sul problema le trovi qui: http://it.wikipedia.org/wiki/SQL_injectionPersonalmente non ho ancora scaricato il modulo, se mi avanza un po' di tempo vedo di darci un'occhiata,Fabio Link to comment Share on other sites More sharing options...
Nicodemo Posted October 6, 2008 Share Posted October 6, 2008 Si capito, interessante l'argomento, in poche parole si dovrebbe creare un escape in modo tale che la comunicazione con il database diventi sicura e non dia vulnerabilità allo stesso database? se ho capito bene!! poichè lo stò leggendo di corsa... Grazie Nicodemo Link to comment Share on other sites More sharing options...
disarci Posted October 6, 2008 Share Posted October 6, 2008 Semplicemente,vista la tabella,controllare che siano numeri e dentro il range di valori...ma il db accetta solo int(2) :bug: Link to comment Share on other sites More sharing options...
Nicodemo Posted October 6, 2008 Share Posted October 6, 2008 del tipo spiegati meglio!!! Link to comment Share on other sites More sharing options...
vinoalvino Posted October 6, 2008 Share Posted October 6, 2008 I do not understand what i have to parse before insert numbers in this table `id_vote` SMALLINT( 10 ) UNSIGNED NOT NULL AUTO_INCREMENT , `id_customer` SMALLINT( 10 ) UNSIGNED NOT NULL , `id_product` SMALLINT( 10 ) UNSIGNED NOT NULL , `vote1` INT( 2 ) NULL DEFAULT '0' , `vote2` INT( 2 ) NULL DEFAULT '0' , `vote3` INT( 2 ) NULL DEFAULT '0' , `vote4` INT( 2 ) NULL DEFAULT '0' , `vote5` INT( 2 ) NULL DEFAULT '0' , `TotVote` INT( 3 ) NULL DEFAULT '0' , I take id_customer from cookie, id_product from $_GET, i test range of single vote ....It's impossible to write "format c: /u" in a int field Sarò stato troppo aggressivo? :-P Link to comment Share on other sites More sharing options...
disarci Posted October 6, 2008 Share Posted October 6, 2008 Figurati e' solo uno dei creatori di prestashop...Comunque concordo ufficialmente con te! Link to comment Share on other sites More sharing options...
Nicodemo Posted October 6, 2008 Share Posted October 6, 2008 si non credo stava parlando di quella parte di script!!! troppo banale!!! è anche vero che le cose banali, nascondono catastrofi!!! Link to comment Share on other sites More sharing options...
vinoalvino Posted October 7, 2008 Share Posted October 7, 2008 Mi dice, con un PM, di usare intval per gli interi e pSQL per le stringhe, ma non ho capito bene ... dice che altrimenti si possono creare select maligne che recuperano dati sensibili dal db Just here per exemple:$id_product= ( isset($_GET[’id_product’]) ? $_GET[’id_product’] : 0); ok qui ha ragione, ci vuole un intval ... $sql=’SELECT `vote1`, `vote2`, `vote3`, `vote4`, `vote5` FROM `’._DB_PREFIX_.’vote` WHERE `id_customer` =’.$id_customer.’ AND `id_product`=’.$id_product;[omissis] so please fix your module !intval for int and pSQL and quote for strings before making requests to database. In realtà non ho capito bene cosa devo pSQLlare Scusate l'ignoranza ma pSQL è un'istruzione php?Ha senso fare il pSQL di una costante???? Link to comment Share on other sites More sharing options...
disarci Posted October 7, 2008 Share Posted October 7, 2008 Ciao,avevo guardato un paio di forum per studiare quello che ti dicevano,ti posto il materiale,in pratica e' una funzione che hanno inserito per filtrare proprio le chiamate:Qui trovi la discussione (in francese come sempre)http://www.prestashop.com/forums/viewthread/2952Qui quella sulle iniezioni (v. infermeria)http://www.prestashop.com/forums/viewthread/3594continuando la discussione, sono andato a vedere cosa usavo io in un esempiosimile in un mio sito, is_numeric dovrebbe dare un controllo maggiore? Che ne pensi?http://fr2.php.net/is_numericMi piace questa discussione, la sicurezza mi ha sempre intrigato. Peccato doverla duplicare in varie lingue. Link to comment Share on other sites More sharing options...
vinoalvino Posted October 7, 2008 Share Posted October 7, 2008 $this->l('Concordo in pieno e grazie!'); A quanto ho capito usano pSQL per evitare che qualcuno cambi i campi della select ... ma non ho capito! 'SELECT * FROM `'.pSQL(_DB_PREFIX_.$this->table).'` WHERE `name` = \''.pSQL($this->name).'\'' Qui capisco la necessità: una variabile è variabile per natura e potrebbe contenere brutte cose, ma pSQL('vote1') Non riesco proprio a capirla.Non capisco ma m'adeguo ...Qualcuno mi dia conferma se questo codice è corretto prima che modifico tutto: $select=pSQL('Count(`vote1`) AS numvote, Avg(`vote1`) AS avgvote1, Avg(`vote2`) AS avgvote2, Avg(`vote3`) AS avgvote3, Avg(`vote4`) AS avgvote4, Avg(`vote5`) AS avgvote5'); $from=pSQL('`'._DB_PREFIX_.'vote` GROUP BY `id_product` HAVING `id_product`='.$id_product); $sql='SELECT '.$select.' FROM '.$from; Link to comment Share on other sites More sharing options...
scalperino Posted June 12, 2012 Share Posted June 12, 2012 Ti ringrazio per questo modulo, è proprio quello che stavo cercando. Link to comment Share on other sites More sharing options...
ciro.torelli Posted August 20, 2014 Share Posted August 20, 2014 Buongiorno, a me il modulo dopo l'installazione chiede sempre il login anche se sono già dentro al sistema. Forse questo dipende dal fatto che sul nostro sito c'è un sistema di iscrizioni personalizzato con gestione di livelli di ref, sicuramente questo impedisce al modulo di funzionare. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now