Artikel-Tabelle verhunzt - Sonderzeichen oder Browserabsturz?

[66mausi]

Hallo!

Gestern rief mich ein Kunde ganz aufgeregt an. Fast alle Artikel seines Ultimateshop 4.016 waren nicht mehr sichtbar. Alle Artikel hatten einen bestimmten Masterartikel als Master augeführt. D.h. statt

UPDATE xt_products SET products_master_model = 'Artikelnummer' WHERE products_id=xxx

muss ein

UPDATE xt_products SET products_master_model = 'Artikelnummer'

ausgeführt worden sein. Bleibt die Frage nur wie? Angeblich wurden keine Sonderzeichen verwendet, die den SQL-Befehl zerpflückt haben könnten. Ein bekannter Bug? Der Firefox ist wohl hin und wieder mal wegen seiner "tollen" JavaScript-Performance abgestürzt. Das wird aber eher unwahrscheinlich der Grund gewesen sein.

ga

[Alex@4tfm]

"products_master_model = 'Name' " erscheint mir falsch, da dort die Artikelnummer vom master rein muss und nicht der Name.

Bist du sicher, dass es daran liegt?

( Pass das doch über das backend an, wenn du es nicht verstehst... )

[66mausi]

... ich meinte natürlich mit Name die Artikelnummer. Hast mich aber falsch verstanden. Ich meinte, dass Veyton das selbstständig (!) gemacht hat und nicht ich. Die SQL-Anweisung war nur als Beispiel gedacht was da passiert sein muss. Der Kunde hat ganz normal Artikel im Backend eingepflegt als plötzlich alle zig tausend Artikel einen Mastereintrag hatten. Das läßt sich durch das Backend ja nicht machen (also mal eben tausenden Artikeln einen Master zuordnen), daher vermute ich einen Scriptfehler bzw. das Eingaben von Sonderzeichen oder eines '; z.B. zur fehlerhaften SQL-Anweisung führten.

[Alex@4tfm]

Kann ich mir fast nicht vorstellen, denke mal da hat sich jemand gedacht "schreibe ich mal nen script"...

Der Shop hat soweit ich weiß keine Funktion um ein beliebiges Feld der Produktdaten in einer schleife für alle Artikel zu ändern, ist also sehr wahrscheinlich, dass es per DB (od. externes script) gemacht wurde.

[66mausi]

... da nur ich den Shop betreue und die Zugriffe habe, muss es durch Veyton selber passiert sein. Ich selber war aber seit Tagen nicht mehr dran und der Kunde hat Null Ahnung von den Dingen. Und falls es ein "Hack"-Versuch war - würde das Ergebnis sicherlich anders aussehen.

Was ich mit meinem SQL-Statement zeigen wollte war, dass es halt keine "Schleife" benötigt. Ein falsch zusammengesetzter SQL-String kann dazu führen das alle Artikel plötzlich einen bestimmten Wert erhalten. Ist mir in einer eigenen Anwendung selbst schon passiert. Je nachdem welche Filter eingestellt wurden, wurde die WHERE-Anweisung hinten nicht angesetzt und das Ergebnis erhielt Werte die nicht hätten auftauchen dürfen. Das gleiche kann ja durch (unabsichtliche/absichtliche) Übergabe eines Strings passieren, der nicht gefiltert wurde (SQL-Injection).

[Alex@4tfm]

Der Shop speichert aber immer die kompletten Artikeldaten beim bearbeiten im Backend (d.h. hier müsste mehr falsch sein). Im FE sind es nur selects, ich kann mir das nicht erklären.

Evtl. ein Fehler beim .csv Import oder mit der WaWi-Schnittstelle?

[66mausi]

... und schon wieder passiert! Nach der Preisänderung bei einem Artikel hatten alle zig tausend Artikel diesen als Master eingetragen. Ich trage das jetzt in die Bugbase ein. Die Beschreibungsfelder haben keinerlei Sonderzeichen enthalten.