3spiele Posted July 6, 2010 Report Share Posted July 6, 2010 Hallo allerseits Wir haben ein Problem im Admin-Bereich, orders_edit.php: Wenn ein Kunde eine Bestellung über 1'000.- eingibt, ist dies kein Problem. Wenn wir hingegen eine Bestellung abändern und der Rechnungsbetrag über CHF 1'000.- ist, kriegen wir die Fehlermeldung über einen Mysql-Syntax-Error (siehe Anhang). Das Abändern von Rechnungen, deren Rechnungsbetrag unter 1'000.- liegt, ist kein Problem Hintergrund: Zeile 465 in orders_edit.php lautet: xtc_db_query("update ".TABLE_ORDERS_TOTAL." set text = '".$subtotal_text."', value = '".$subtotal_final."' where orders_id = '".$_POST['oID']."' and class = 'ot_subtotal' "); Wenn nun im $subtotal_text ein Hochkomma drin ist (=> Tausender-Trennzeichen in der Schweiz), lautet der Query natürlich update orders_total set text='CHF 1'195', value=' etc... Nach uns müsste man den Query mit einem mysql_real_escape_string zusammensetzen, aber da es um Bestellungen und Geld geht, ist uns das etwas zu heikel, um einfach so drauflos zu basteln... Ist der Bug bekannt? Ein Bugfix ausstehend? Wir haben 3.04 SP2.1 im Einsatz Danke im voraus und Gruss aus Bern 3spiele Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.