Re: [TYPO3-german] Kundenverwaltung mit eigener Extbase-Extension

[Mario T]

Hallo Dieter,

ja genau an so etwas habe ich Gedacht.

Ich werde mir erst einmal die vorhandenen Extensions ansehen. Sollte das nicht 
reichen würde ich eine gesonderte Tabelle anlegen in der ich die Kunden ablege. 
:)

Danke Euch und ein schönes Wochenende :)
--
LG,
 Mario
___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

[TYPO3-german] Re: Extbase - Manipulation von Daten

[Mario T]

Hallo zusammen,

erst einmal vielen Dank für die ausführlichen Antworten.

Ja, ich meinte einen Fall wie Stephan ihn darstellt. In der Tat geht es aktuell um die Berechtigungsvergabe für bestimmte "Module" (Bereiche). 


Ein "Hauptnutzer" kann einem anderen Nutzer über das Frontend bestimmte Objekte und Module zuweisen. 
Teilweise sieht selbst der Hauptnutzer einige Module nicht. Nun gibt es Select's (teilweise multiple) in denen er 
Module und/oder Objekte auswählen kann (die Liste ist in der Maske bereits "aussortiert". Da ja hinter einem 
Titel, z.B. "Stammdaten" oder "Objekt xy" jeweils immer eine ID steht, könnte er ja die ID gegen 
eine (ihm erst einmal unbekannte) austauschen. Wenn ich z.b. sehe das die Module ID1-8 haben und in der Liste nur ID 5 
nicht zur Auswahl steht wäre das ja doch sehr verlockend. :)

Leider gibt es wohl keine Möglichkeit für ein Objekt eine Art Checksumme zu generieren (Vor Edit) 
und nachträglich zu prüfen (Vor Update). Alternativ bleibt wohl nur eine erneute Prüfung mit etwas 
wie "in_array" in Verbindung mit den abgesendeten Objekt-Ids und den 
"erlaubten" Objekt-Ids.

Ich hoffe ich habe mich einigermaßen verständlich ausdrücken können. Ist ja 
schon spät und Freitag :)
--
LG,
 Mario
___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

Re: [TYPO3-german] Kundenverwaltung mit eigener Extbase-Extension

[Dr. Dieter Porth]

Hallo Mario,

So wie die BE_groups für die jeweiligen Zugriffs-Rechte von Usergruppen 
verwendet wird, so sollten auch die FE_groups für ähnliches verwendet 
werden.


Warum legt du nicht einfach eine separate Tabelle mit der vollständigen 
Datensatzstruktur an und erweiterst die FEUser um ein Verknüpfungsfeld 
für eine MN-Tabelle. Es könnte ja sein, dass ein User an zwei 
Datensätzen arbeiten können soll.
Die FE-Groups nimmst du dann, um jeweils festzulegen, welcher User 
welchen Teil aus deiner Datensatzstruktur bearbeiten können darf. 
Vielleicht möchtest ja du oder einer deiner Kunden diese Unterscheidung 
jetzt oder vielleicht in Zukunft ermöglicht sehen.


Aber der Tipp von Adrea ist wahrscheinlich besser. Bevor man selbst 
etwas baut, sollte man immer schauen, ob es nicht schon eine fast 
fertige Lösung gibt.


Mit freundlichen Grüßen
  Dieter

Am 20.01.2017 um 11:36 schrieb Mario T:

Danke für Dein Feedback.

Ich habe mir überlegt ob ich die Tabelle fe_groups direkt als 
"Kundendatensatz" gebrauchen oder ob ich einen Kundendatzensatz mit 
fe_groups verbinden soll. Es kann ja sein das mehrere fe_user zu einem 
Kunden gehören.


___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

Re: [TYPO3-german] Suche auf gewisse Seiten einschränken

[Dr. Dieter Porth]

Hallo Gerhard,

du möchtest also zwei Such-Indexe haben. Einen für die allgemeine Suche 
und mit ausschließlichen Zugriff auf einen Teil des Indexes. Du brauchst 
also eine configurierbare Suchmaschine, was die indexedsearch in der 
Form - glaube ich - nicht ist. (Erfahren Entwickler mögen mir 
widersprechen, wenn ich falsch liege.


Ich glaube nicht, dass die Indexedsearch dies leistet. Du brauchst eine 
anderen Suchindex, der Konfigurierbar ist. Also etwas in Richtung 
elasticSearch oder Solr.


https://forum.typo3.org/index.php/t/208092/typo3-cms-and-elasticsearch.

Ich habe keine Erfahrungen in dem Bereich. Vielleicht weiß einer der 
Mitleser mehr. (Bitte poste nocheinmal, für welche TYPO3-Version du dies 
dies brauchst?


Mit besten Grüßen

Dieter


Am 20.01.2017 um 09:03 schrieb Gerhard Obermayr:

Hallo und guten Morgen,

ich habe das Problem zwar schon einmal gepostet, aber keine Antwort 
erhalten.


Ich möchte auf einer Seite, auf der es bereits eine Suchfunktion gibt, 
eine zweite Suche haben, die nur einen Teil der website berücksichtigt.


Dazu habe ich im Setup auf der ersten Seite des eingeschränkten 
Bereiches dieses TS verankert:


   plugin.tx_indexedsearch._DEFAULT_PI_VARS.sections = rl4_1424

Der Grund dieser Verrenkung ist die unnütze Auflistung von Seiten, die 
nicht interessieren.


Es betrifft diese Seite --> http://chronik.stadthaag.com/

Auf der Startseite möchte ich gerne die Suchfunktion abzüglich des 
Friedhofes haben.


Jedoch sollen genau diese fehlenden Ergebnisse auf der Friedhofsseite 
nur bei der Suche im Friedhof erscheinen.


Wenn man also z.B. nach dem Namen "Schlögelhofer" sucht, sollen die 
Suchergebnisse auf der Seite "Home" alle Ergebnisse aufgelistet sein, 
die nichts mit "Sektor" zu tun haben.


Mit der Suche auf der Friedhofs-Seite sollen dafür nur die Ergebnisse 
mit "Sektor" erscheinen.


Ich hoffe, es ist klar, was ich gerne hätte ...



___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

Re: [TYPO3-german] Extbase - Manipulation von Daten

[Stephan Schuler]

Ich bin mir fast sicher, dass in der konkreten Implementierung nicht zwischen 
1, 2, 3 und 6 unterschieden wird sondern der Zugriff auf ein Objekt mit 
irgendeiner Aufgabe. Hier kann ich mir durchaus vorstellen, dass es Situationen 
gibt in denen der Benutzer einfach nicht den kompletten Wertebereich lesen 
können soll.

Was mach ich in einem Onlineshop wenn der Kunde den POST-Request der einen 
Artikel in den Warenkorb legt manipuliert? Möglicherweise hab ich Produkte 
deren Kaufberechtigung an Regeln gebunden sind, Altersbeschränkung bei Alkohol 
zum Beispiel oder Gebindegrößen nur für Geschäftskunden.
Wenn es dann in den Checkout geht und der Kunde einen Warenkorb bestellen 
möchte kann ich Payment-Types für Paypal, Nachnahme und Vorkassenzahlung haben, 
und für Kunden die bereits eine erfolgreiche bezahlte Bestellung über 
mindestens 25€ abgeschlossen haben erlaube ich auch den Payment-Type der 
Zahlung per Rechnung.

Nicht mal wenn es sich nur um GET-Requests handelt und RealURL samt cHash 
sicherstellen, dass der Benutzer den ID-Parameter verändert bin ich sicher. Ich 
kann mir News vorstellen die in Gruppen sortiert sind und News bestimmter 
Gruppen sind nur für angemeldete Benutzer bestimmter Gruppen gedacht. Was 
hindert einen angemeldeten Benutzer daran, einen gültigen Link auf eine 
News-Seite an eine fremde Person weiterzuleiten?

Grundsätzlich ist „der Benutzer kann den Link oder die ID nicht kennen“ keine 
sinnvolles Berechtigungskonzept.

Einen Validator davor zu schalten dürfte die einfachste Lösung sein, auch wenn 
ich streng genommen die Zugriffskontrolle nicht als Aufgabe der Validierung 
betrachte.

Gruß,

Am 20.01.17, 17:12 schrieb "typo3-german-boun...@lists.typo3.org im Auftrag von 
Michael Kasten" :

Never trust users
oder
User content is evil

Grundsätzlich sind alle Usereingaben als schädliche Eingaben anzusehen.
Es sollte also nur das gespeichert werden was nicht schädlich und das nicht 
nur an einer Stelle
sondern an möglichst allen Stellen bei der Strecke zur und von der 
Datenbank.

> Ein bestimmter User bekommt beim Bearbeiten eines Datensatzes in einem 
Dropdown 3 Werte zur Auswahl
> (uid 1, 2 und 3) - Mehr sieht er nicht. Er ändert vor dem Absenden den 
Value einer Option von z.B.
> value="3" auf value="6" und schickt das Formular ab.

Dieser Fall ist aus meiner Sicht wenig realistisch, was soll der User denn 
damit bezwecken können,
soweit wie das beschrieben ist ändert sich hier nur eine Zahl, das ist für 
das System uninteressant.
(Es sei den der User wählt hier sowas wie eine Berechtigung oder eine 
Gruppenzugehörigkeit, dann
aber hast du schon den ersten großen Fehler in deiner Architektur)

Interessanter wird es doch wenn dein User den Value auf irgendwas anderes 
als eine Zahl ändern kann
(Gefahr für deine DB) und das dann an anderer Stelle wieder ausgegeben wird 
(Gefahr für alle anderen)

Alle Eingaben müssen vor der Persistierung validiert werden, also immer auf 
Datentyp, ggf auch
Datenlänge und Formate. Dann sind ggf. alle bekannten schädlichen 
Steuerzeichen zu entfernen oder zu
maskieren (unterbinden von DB Anweisungen, Unterbinden von Inhalten die 
beim ausspielen XSS
erzeugen) Hierbei kann man auch serverseitig z.B. bei Verwendung von Apache 
noch eine FW Hochziehen
(mod_Security) dann findet die Prüfung nicht nur auf Anwendungsebene statt.

> Eigentlich wäre doch die einfachste Lösung bei der Update-Action nochmal 
zu prüfen ob sich der vom
> User gesetzte Wert in der Liste der "erlaubten" Werte ist, oder?

Die Valdierung findet vor dem Aufruf der jeweiligen Action insert oder 
update statt


https://docs.typo3.org/typo3cms/ExtbaseFluidBook/9-CrosscuttingConcerns/2-validating-domain-objects.html

So Freitag also my2cent

--
Michael Kasten | http://m-kasten.de
Im wirklichen Leben gibt es kein [Strg]+[Z]

Stephan Schuler
Web-Entwickler | netlogix Web Solutions

Telefon: +49 (911) 539909 - 0
E-Mail: stephan.schu...@netlogix.de
Web: websolutions.netlogix.de




Neu: Wir sind Amazon Web Services Partner. Mehr erfahren:
https://websolutions.netlogix.de/technologie/amazon-web-services-aws





netlogix GmbH & Co. KG
IT-Services | IT-Training | Web Solutions
Neuwieder Straße 10 | 90411 Nürnberg
Telefon: +49 (911) 539909 - 0 | Fax: +49 (911) 539909 - 99
E-Mail: i...@netlogix.de | Web: http://www.netlogix.de

netlogix GmbH & Co. KG ist eingetragen am Amtsgericht Nürnberg (HRA 13338)
Persönlich haftende Gesellschafterin: netlogix Verwaltungs GmbH (HRB 20634)
Umsatzsteuer-Identifikationsnummer: DE 233472254
Geschäftsführer: Matthias Schmidt



___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

Re: [TYPO3-german] Extbase - Manipulation von Daten

[Michael Kasten]

Never trust users
oder
User content is evil

Grundsätzlich sind alle Usereingaben als schädliche Eingaben anzusehen.
Es sollte also nur das gespeichert werden was nicht schädlich und das nicht nur 
an einer Stelle
sondern an möglichst allen Stellen bei der Strecke zur und von der Datenbank.

> Ein bestimmter User bekommt beim Bearbeiten eines Datensatzes in einem 
> Dropdown 3 Werte zur Auswahl
> (uid 1, 2 und 3) - Mehr sieht er nicht. Er ändert vor dem Absenden den Value 
> einer Option von z.B.
> value="3" auf value="6" und schickt das Formular ab.

Dieser Fall ist aus meiner Sicht wenig realistisch, was soll der User denn 
damit bezwecken können,
soweit wie das beschrieben ist ändert sich hier nur eine Zahl, das ist für das 
System uninteressant.
(Es sei den der User wählt hier sowas wie eine Berechtigung oder eine 
Gruppenzugehörigkeit, dann
aber hast du schon den ersten großen Fehler in deiner Architektur)

Interessanter wird es doch wenn dein User den Value auf irgendwas anderes als 
eine Zahl ändern kann
(Gefahr für deine DB) und das dann an anderer Stelle wieder ausgegeben wird 
(Gefahr für alle anderen)

Alle Eingaben müssen vor der Persistierung validiert werden, also immer auf 
Datentyp, ggf auch
Datenlänge und Formate. Dann sind ggf. alle bekannten schädlichen Steuerzeichen 
zu entfernen oder zu
maskieren (unterbinden von DB Anweisungen, Unterbinden von Inhalten die beim 
ausspielen XSS
erzeugen) Hierbei kann man auch serverseitig z.B. bei Verwendung von Apache 
noch eine FW Hochziehen
(mod_Security) dann findet die Prüfung nicht nur auf Anwendungsebene statt.

> Eigentlich wäre doch die einfachste Lösung bei der Update-Action nochmal zu 
> prüfen ob sich der vom
> User gesetzte Wert in der Liste der "erlaubten" Werte ist, oder?

Die Valdierung findet vor dem Aufruf der jeweiligen Action insert oder update 
statt

https://docs.typo3.org/typo3cms/ExtbaseFluidBook/9-CrosscuttingConcerns/2-validating-domain-objects.html

So Freitag also my2cent

-- 
Michael Kasten | http://m-kasten.de
Im wirklichen Leben gibt es kein [Strg]+[Z]
___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

[TYPO3-german] Extbase - Manipulation von Daten

[Mario T]

Hallo zusammen!

Wie verhindert ihr eine Manipulation von Daten? Beispiel:

Ein bestimmter User bekommt beim Bearbeiten eines Datensatzes in einem Dropdown 3 Werte zur Auswahl 
(uid 1, 2 und 3) - Mehr sieht er nicht. Er ändert vor dem Absenden den Value einer Option von z.B. 
value="3" auf value="6" und schickt das Formular ab.

Das ganze wird von TYPO3 einfach übernommen da ja zufällig der Datensatz mit 
der uid 6 existiert.

wie verhindert ihr so eine Manipulation?

Eigentlich wäre doch die einfachste Lösung bei der Update-Action nochmal zu prüfen ob 
sich der vom User gesetzte Wert in der Liste der "erlaubten" Werte ist, oder?

Danke für Eure Meinung.
--
LG,
 Mario
___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

Re: [TYPO3-german] Error nach Ext-Installation

[Bernhard Ludwig]

> Am 20.01.2017 um 14:55 schrieb Bernhard Ludwig:
>> Hallo,
>> 
>> TYPO3 6.2.25, PHP 5.6.29, Ext: dpn_glossary
>> 
>> habe die Ext im EM versucht zu installieren. Die Uhr fing an sich zu drehen 
>> und hörte auch nach langen Minuten nicht auf. Habe dann nochmal im BE auf 
>> den ExtManger (Erweiterungen) geklickt und seitdem kommt im BE und FE nur 
>> noch folgende Fehlermeldung:
>> 
>> #1365429673: TYPO3 Fatal Error: Extension key "" is NOT loaded! (More 
>> information )
>> 
>> BadFunctionCallException thrown in file
>> /www/htdocs//web/cms-typo3-6/typo3_src-6.2.25/typo3/sysext/core/Classes/Utility/ExtensionManagementUtility.php
>>  in line 139.
>> 
>> Habe nun die LocalConfiguration.php nach einem fehlerhaften Eintrag 
>> durchsucht, jedoch nichts gefunden. Alle Einträge für installierte Exts sind 
>> einwandfrei, die dpn_glossary ist dort nicht aufgelistet. Habe dann alle 
>> Dateien unter typo3temp/Cache gelöscht, jedoch ebenso ohne Erfolg.
>> 
>> Was kann ich tun?
>> 
>> Grüße,
>> Bernhard


> Am 20.01.2017 um 15:08 schrieb Alexander Künzl :
> 
> Hallo Bernhard,
> 
> Du kannst Extensions in der Datei PackageStates.php (liegt im selben 
> Verzeichnis) wieder deaktivieren, indem Du die Extension auf "inactive" setzt.
> 
> Hier sind auch noch ein paar Infos dazu:
> https://jweiland.net/typo3/versionen-und-updates/version-62-lts.html#c1358
> 
> Viele Grüße
> 
> Alex

Hallo Alex,

tausend Dank für die schnelle Hilfe, das war es. Jetzt läuft wieder alles!
Mit der Ext das lass ich dann lieber sein oder teste erst mal eine lokale 
Installation.

Danke nochmal und Gruß,
Bernhard
___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

Re: [TYPO3-german] Error nach Ext-Installation

[Alexander Künzl]

Hallo Bernhard,

Du kannst Extensions in der Datei PackageStates.php (liegt im selben 
Verzeichnis) wieder deaktivieren, indem Du die Extension auf "inactive" 
setzt.


Hier sind auch noch ein paar Infos dazu:
https://jweiland.net/typo3/versionen-und-updates/version-62-lts.html#c1358

Viele Grüße

Alex

Am 20.01.2017 um 14:55 schrieb Bernhard Ludwig:

Hallo,

TYPO3 6.2.25, PHP 5.6.29, Ext: dpn_glossary

habe die Ext im EM versucht zu installieren. Die Uhr fing an sich zu drehen und 
hörte auch nach langen Minuten nicht auf. Habe dann nochmal im BE auf den 
ExtManger (Erweiterungen) geklickt und seitdem kommt im BE und FE nur noch 
folgende Fehlermeldung:

#1365429673: TYPO3 Fatal Error: Extension key "" is NOT loaded! (More information 
)

BadFunctionCallException thrown in file
/www/htdocs//web/cms-typo3-6/typo3_src-6.2.25/typo3/sysext/core/Classes/Utility/ExtensionManagementUtility.php
 in line 139.

Habe nun die LocalConfiguration.php nach einem fehlerhaften Eintrag durchsucht, 
jedoch nichts gefunden. Alle Einträge für installierte Exts sind einwandfrei, 
die dpn_glossary ist dort nicht aufgelistet. Habe dann alle Dateien unter 
typo3temp/Cache gelöscht, jedoch ebenso ohne Erfolg.

Was kann ich tun?

Grüße,
Bernhard
___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german


___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

[TYPO3-german] Error nach Ext-Installation

[Bernhard Ludwig]

Hallo,

TYPO3 6.2.25, PHP 5.6.29, Ext: dpn_glossary

habe die Ext im EM versucht zu installieren. Die Uhr fing an sich zu drehen und 
hörte auch nach langen Minuten nicht auf. Habe dann nochmal im BE auf den 
ExtManger (Erweiterungen) geklickt und seitdem kommt im BE und FE nur noch 
folgende Fehlermeldung:

#1365429673: TYPO3 Fatal Error: Extension key "" is NOT loaded! (More 
information )

BadFunctionCallException thrown in file
/www/htdocs//web/cms-typo3-6/typo3_src-6.2.25/typo3/sysext/core/Classes/Utility/ExtensionManagementUtility.php
 in line 139.

Habe nun die LocalConfiguration.php nach einem fehlerhaften Eintrag durchsucht, 
jedoch nichts gefunden. Alle Einträge für installierte Exts sind einwandfrei, 
die dpn_glossary ist dort nicht aufgelistet. Habe dann alle Dateien unter 
typo3temp/Cache gelöscht, jedoch ebenso ohne Erfolg. 

Was kann ich tun?

Grüße,
Bernhard
___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

Re: [TYPO3-german] Kundenverwaltung mit eigener Extbase-Extension

[Mario T]

Hallo Andrea,

danke für Dein Feedback.

Gute Idee, ich werde mir die erwähnten Extensions mal ansehen. :) Danke!
--
LG,
 Mario
___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

Re: [TYPO3-german] Kundenverwaltung mit eigener Extbase-Extension

[Mario T]

Danke für Dein Feedback.

Ich habe mir überlegt ob ich die Tabelle fe_groups direkt als "Kundendatensatz" 
gebrauchen oder ob ich einen Kundendatzensatz mit fe_groups verbinden soll. Es kann ja 
sein das mehrere fe_user zu einem Kunden gehören.
--
LG,
 Mario
___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

[TYPO3-german] Suche auf gewisse Seiten einschränken

[Gerhard Obermayr]

Hallo und guten Morgen,

ich habe das Problem zwar schon einmal gepostet, aber keine Antwort 
erhalten.


Ich möchte auf einer Seite, auf der es bereits eine Suchfunktion gibt, 
eine zweite Suche haben, die nur einen Teil der website berücksichtigt.


Dazu habe ich im Setup auf der ersten Seite des eingeschränkten 
Bereiches dieses TS verankert:


   plugin.tx_indexedsearch._DEFAULT_PI_VARS.sections = rl4_1424

Der Grund dieser Verrenkung ist die unnütze Auflistung von Seiten, die 
nicht interessieren.


Es betrifft diese Seite --> http://chronik.stadthaag.com/

Auf der Startseite möchte ich gerne die Suchfunktion abzüglich des 
Friedhofes haben.


Jedoch sollen genau diese fehlenden Ergebnisse auf der Friedhofsseite 
nur bei der Suche im Friedhof erscheinen.


Wenn man also z.B. nach dem Namen "Schlögelhofer" sucht, sollen die 
Suchergebnisse auf der Seite "Home" alle Ergebnisse aufgelistet sein, 
die nichts mit "Sektor" zu tun haben.


Mit der Suche auf der Friedhofs-Seite sollen dafür nur die Ergebnisse 
mit "Sektor" erscheinen.


Ich hoffe, es ist klar, was ich gerne hätte ...

--
Liebe Grüße aus Haag

*Gerhard Obermayr*
Holzleiten 35
A-3350 Haag
cont...@gerhard-obermayr.com 
___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german