Suche mit Prozentzeichen unterbinden

[Bonner]

Trotz des heissen Wetters, das ja eigentlich mehr zum baden, grillen und mehr einlädt,
beschäftigt mich ein z.Zt. ein "Fehler" in der Suchfunktion.

Wenn man über die Suchfunktion dreimal das %-Zeichen eingibt, wird der gesamte Shopbestand angezeigt, was ich persönlich nicht so gut finde im Hinblick auf mögliche Konkurrenz.
Gibt es eine Möglichkeit, dass grundsätzlich zu unterbinden?

Vorab wie immer Danke für Eure Hilfe!

Bonner

Linkback: https://www.modified-shop.org/forum/index.php?topic=30668.0

[h-h-h]

Hallo Bonner,
dafür in der advanced_search_result.php folgende Zeile vor (// reset error) einfügen:

Code: PHP  [Auswählen]

$keywords = str_replace(array('%%','__'), '', $keywords);

Viele Grüße,
h-h-h

[EDIT Tomcraft 21.07.2014: Beitrag wiederhergestellt!]

[Bonner]

Danke für den Tipp..eingebaut und läuft.
Wie immer erste Sahne und dehalb  und wenn Du mal in Bonn bsit, gibt es ein oder mehrere 

Ein schönes Wochenende!

Bonner

[h-h-h]

Wenn ich in Bonn bin, dann werde ich vermutlich wieder mit noRiddle unterwegs sein. Nehme die Einladung gerne an, falls es sich ergibt.

LG, h-h-h

[EDIT Tomcraft 21.07.2014: Beitrag wiederhergestellt!]

[webald]

Wenn man über die Suchfunktion dreimal das %-Zeichen eingibt, wird der gesamte Shopbestand angezeigt, was ich persönlich nicht so gut finde im Hinblick auf mögliche Konkurrenz.

Mit Deiner Lösung hast Du das jetzt nur unwesentlich erschwert. Mit a% bis z% sind es halt dann 26 Abfragen und der gesamte Shop liegt wieder offen. Mit einem kleinen Programm geht auch das dann automatisiert und schützt auch nicht.

[Modulfux]

Es ist mal wieder köstlich wie dieser Thread durch die Zensur zerrissen wurde.

Für einen Außenstehenden liest es sich so:
- Bonner stellt ein Fehlverhalten im Shop fest
- dann bedankt sich Bonner bei sich selbst und lädt sich selber nach Bonn ein
- Webald zitiert nun das Fehlverhalten im Shop und schreibt etwas von Lösung

Irgendwie ohne Sinn und Verstand, oder?

Vor der Zensur sah es aber so aus:
- Bonner stellt ein Fehlverhalten im Shop fest
- Teammitglied postet einen workaround
- Bonner bedankt sich bei der kompetenten Antwort des Teammitglieds und lädt ihn nach Bonn ein
- Webald zitiert den workaround und weist darauf hin, dass die Lösung auch nicht das gelbe von Ei ist

Man, man, man. Kann man bei solchen Lösch-Aufräum-Editier-Orgien nicht wie früher eine Notiz hinterlassen?

Gruß
Ronny

[Tomcraft]

Hallo Ronny,

verstehen tue ich es auch nicht, was hier passiert ist, aber ich werde es aufklären. Ich habe die Beiträge wiederhergestellt, damit das Thema wieder einen Sinn ergibt.

Dein Ton gefällt mir aber überhaupt nicht. Wäre doch viel leichter gewesen hier mal einfach die "Moderator informieren" Schaltfläche zu drücken, damit ich das direkt gesehen hätte und nicht erst durch Zufall, anstatt hier so ein Fass auf zu machen.



Grüße

Torsten

[h-h-h]

[..]
Mit Deiner Lösung hast Du das jetzt nur unwesentlich erschwert. Mit a% bis z% sind es halt dann 26 Abfragen und der gesamte Shop liegt wieder offen.

So ein Quatsch, mit 2 Zeichen kommst du nicht weit strlen($keywords) <3.

[..] Mit einem kleinen Programm geht auch das dann automatisiert und schützt auch nicht.

Zerrede doch nicht alles, meine Lösung erfüllt den Zweck und alternative Wege gibt es natürlich, doch:

[..] im Hinblick auf mögliche Konkurrenz.[..]

Zensiert(gelöscht) habe ich meine Beiträge und nicht den von dem Schlaumeier. Da wundert mich meine Forenpräsenz echt nicht mehr, wobei ich wirklich gerne helfe.

Gruß, h-h-h

[Caro]

Hallo,
darf man erfahren warum Antwort #1 am: 19. Juli 2014, 13:30:25 der Code, Dateiname und Zeile gelöscht wurde ?

und wie kann ich das jetzt Unterbinden ?

[webald]

@h-h-h
tolle Aussage, blöd nur, dass es im Shop von bonner geht. a% ergibt 4812 Treffer.

Was ist nun mit Quatsch?

[Tomcraft]

[...]
dafür in der advanced_search_result.php folgende Zeile vor (// reset error) einfügen:

Code: PHP  [Auswählen]

$keywords = str_replace(array('%%','__'), '', $keywords);

[...]

Was spricht denn dagegen hier dann folgendes zu benutzen:

Code: PHP  [Auswählen]

$keywords = str_replace(array('%','_'), ' ', $keywords);

Damit sollte das Thema erledigt sein, denn ich denke es wird selten bis nie vorkommen, dass jemand nach "%" oder "_" suchen wird.

P.S.:

[...]
Wenn man über die Suchfunktion dreimal das %-Zeichen eingibt, wird der gesamte Shopbestand angezeigt, was ich persönlich nicht so gut finde im Hinblick auf mögliche Konkurrenz.
[...]

Es ist nicht aufwendiger für die Konkurrenz eine Google-Suche zu starten nach "site:domainname.tld" um alle indizierten Seiten des Shops zu erfahren und auszulesen.
Auch Artikel-Exporte kommen hier in Betracht.

Grüße

Torsten

[Bonner]

Es ist mal wieder köstlich wie dieser Thread durch die Zensur zerrissen wurde.

- dann bedankt sich Bonner bei sich selbst und lädt sich selber nach Bonn ein

 
cool...ich habe einen neben mir gehen und lade mich selbst ein

..mal im  Ernst:

Jungs, bleibt cool. Kein Grund, sich hier in die Wolle zu kriegen. 

Ich finde nur, dass diese Möglichkeit einfach unterbunden werden sollte (auch im Hinblick auf zukünftige Versionen).

Was mich gewundert hat, ist dass das bisher noch nie ein Thema war...

Bonner

(der sich auf das Treffen mit sich freut  )

[h-h-h]

oder escapen: Suche dicht machen, also für die aktuellen Shop-Versionen..


advanced_search_result.php

Suche:

Code: PHP  [Auswählen]

// reset error

Füge davor ein:

Code: PHP  [Auswählen]

$keywords = str_replace(array('\\' ,'%', '_'), array('', '\%', '\_'), $keywords);#hs

Bei Problemen mit der Änderung:
Das Escapen mit dem Backslash funktioniert solange der --sql-mode nicht NO_BACKSLASH_ESCAPES enthält, wobei ihr euch dann an euren Hoster wenden solltet. Alternativ könnte im Query mit "escape 'CHAR'" für die Abfrage das Escape-Zeichen geändert werden. Die Datenbankabfrage könnte auch nach dem Durchlauf der Sicherheitsfunktionen z.B. in der xtc_db_query manipuliert werden, indem \% mit '+char(37)+' und \_ mit '+char(95)+' ersetzt werden.

Freundlichen Gruß,
h-h-h

[Tomcraft]

Das ist natürlich noch eleganter!

Das nehme ich mal in Ticket #274 auf.

Grüße

Torsten

[webald]

der Schlaumeier entschuldigt sich, dass er einen Lösungsvorschlag kritisiert hat, auch wenn die erste Lösung trotz strlen($keywords) <3  mit %a% ausgehebelt werden konnte und hat dazu noch 2 Sachen.

1. Es gibt Situationen in denen es Sinn macht nach '%' zu suchen, z. B. irgenwelche x-prozentigen Lösungen, Alkohol oder Steuersätze. Daher wäre es sinnvol das Suchverhalten konfigurierbar zu machen. Könnte es in so einem Fall sinnvol sein, dass man evtl. '%' und '_' als Platzhalter ersetzten mit z. B. '*' und '?' ?

2. Wenn man schon die Suche anpaßt, wäre es u. U. sinnvoll die Suche um eine Funktion zu erweitern. Derzeit werden die eingegeben Suchworte mit "und" verknüpft. Macht es Sinn eine Option für "oder" zu erstellen?