Mittwoch, 29. August 2007 Druck-Ansicht

Beim Einrichten eines Kundenkontos überprüft xt:Commerce, ob die angegebene E-Mail Adresse bereits vorliegt. Denn diese ist gewissermaßen der “eindeutige Identifikator” für einen einzelnen Kunden.

E-Mail Dupletten

Leider findet eine solche Überprüfung nicht mehr statt, sobald man einmal eingelogged ist. Das heißt also, dass bei einer nachträglichen Adress-Änderung jede beliebige E-Mail-Adresse benutzt werden kann - unabhängig davon, ob sie im System schon bekannt ist oder nicht.

Die Folgen sind ein bisschen unangenehm …

Ausgangslage:

Kunde Meier1
E-Mail-Adresse: meier1@kunde.de
Kunde Müller2
E-Mail-Adresse: mueller2kunde.de

Beispiel 2:

Wenn Kunde Meier1 seine E-Mail-Adresse in mueller2@kunde.de umändert, hat er Kunde Müller2 ausgesperrt - Denn für die Adresse mueller2@kunde.de funktioniert jetzt nur noch das Passwort von Kunde Meier und der “echte Müller” kann sich mit den ihm bekannten Daten nicht mehr einloggen.

Nicht schön.

Beispiel 2:

Wenn Kunde Müller2 seine E-Mail-Adresse in meier1@kunde.de umändert, hat er nur “sich selbst” ausgesperrt - Denn bei doppelten E-Mail-Adressen wird die Übereinstimmung mit dem Passwort für die erste gefundene E-Mail-Adresse überprüft. Und Kunde Meier1 - der sein Kundenkonto eher als Kunde Müller2 eröffnet hat - kann sich weiterhin mit “seinen” Daten im Shop anmelden.

Auch nicht schön.

Beruhigend ist aber, dass man mit der Methode den Admin nicht “ärgern” kann. Wäre doch ein putziger “Dummerjungen-Streich”: Die E-Mail-Adresse vom Shop-Admin “erahnen” - und ihn aussperren. Haha. Oder einen persönlichen Feind am Einkaufen hindern.

Geht jedoch nur, wenn man eine niedrigere Kunden-ID als derjenige hat, den man ärgern möchte.

Abhilfe …?

~~Coming soon. Vorläufig kann man natürlich die Eingabefelder für E-Mail-Adressen aus dem Template entfernen.~~ (Lösungs-Vorschlag siehe unten …)

Oder aber man “rüstet” wirklich viele System-Dateien nach - Oder … Mit etwas Glück kann man auch eine “Template-Lösung” hinkriegen. Eine erste Idee wäre es, in der boxes.php des Templates etwaige $_POST-Parameter abzufangen - und erst nach “eigener” Überprüfung mit der Funktion xtc_redirect(); weiterzuleiten.

Mit dieser Funktion kann man auch sonst so Einiges anstellen, vielleicht hilft sie ja auch in diesem Fall bei einer eleganteren Lösung als das übliche “Gewühl im System” …

Nachtrag: Lösung

Es gibt eine Methode, die keine weiteren Änderungen an System-Dateien erfordert. Ein paar Zeilen in die “boxes.php” - und man hat sich viel Gebastel erspart.

Die Idee mit xtc_redirect(); war übrigens Quatsch - denn nach einem Redirect sind alle $_POST-Daten futsch - als hätte man nie ein Formular ausgefüllt. Irgendwie doof, wenn man mordsviel getippt hat und nach einer Fehlermeldung plötzlich alles weg ist …

An dieser Stelle noch mal ein Hinweis am Rande: Die Wahrscheinlichkeit ist zugegebenermaßen nicht besonders groß, dass jemand E-Mail-Adressen von anderen Leuten in ein Shop-System einträgt. Daher ist dieser “Bug” eigentlich keine allzu schlimme Sache. Ich hab’s auch nur deshalb festgestellt, weil ich momentan an einem Shop herumschraube - ein Transfer aus einem anderen System - in dem die Kunden einen “Nickname” haben müssen.

Der Nickname ist u.a. deshalb so wichtig, da xt:Commerce bei “Bewertungen” immer den vollen Namen des Autoren angibt. Und das war wegen Wahrung der Privatsphäre einfach nicht erwünscht. Außerdem gibt’s in dem Shop schon beinahe 20.000 Bewertungen, die “Reviews” sind dort also ein sehr zentraler Bestandteil des Angebots, so dass man dann die Namen nicht einfach komplett ausblenden sollte - Sonst wäre ja plötzlich alles anonym …

Prinzip

Alle Benutzerdaten-, Adress-, Kontoneu- etc. Systemdateien von xt:Commerce fangen erst dann an, wirklich etwas an der Datenbank zu tun, wenn $_POST['action'] gesetzt ist und den Wert “process” hat.

In der “boxes.php” des aktiven Templates (quasi das erste, was im Shop “stattfindet”) fragen wir einfach nach, ob die wichtigen $_POST-Werte gesetzt sind. So brauchen wir auch nicht lauter unterschiedliche Bereiche zu unterscheiden - Denn wenn es keine Möglichkeit gab, eine E-Mail-Adresse einzugeben, gibt es auch keinen $_POST-Wert dazu.
Wenn eine E-Mail-Adresse in $_POST bekannt ist, kann man sich den Wert greifen - und damit alle Überprüfungs-Mechanismen durchführen, die man so braucht.
Wenn die Überprüfung ergeben hat, dass es die Adresse schon gibt, muss noch geprüft werden, ob diese bereits existierende Adresse nicht zufällig die des gerade eingeloggten Kunden ist. Denn der soll ja nicht dauernd eine Fehlermeldung bekommen, bloß weil seine eigene Adresse schon bekannt ist.
Wenn schließlich feststeht, dass es eine echte “Doppeleingabe” ist, muss $_POST['action'] geleert und die Fehlermeldung initiiert werden.

Da in meinem Fall noch ein paar Dinge mehr als nur die E-Mail-Adresse eine Prüfung benötigen, ist mein Code-Vorschlag vielleicht ein bisschen komplizierter als es ohne die Anforderung, “Nicknames” einzubauen nötig gewesen wäre - Aber wie dem auch sei - Bei mir funktioniert’s:


function isUniqueData($Value=false,$FieldName=false,$TableName=false) {
	$isUniqueData = true;
	if($Value && $FieldName && $TableName) {
		$UniqueDataQuery = xtc_db_query("select count(*) as total from ".$TableName." where ".$FieldName." = '".$Value."'");
		$UniqueData = xtc_db_fetch_array($UniqueDataQuery);
		if ($UniqueData['total'] > 0)
			$isUniqueData = false;
	}
	return $isUniqueData;
}

function isCustomersOwn($Value=false,$FieldName=false,$TableName=false,$CustomersID=false) {
	$isCustomersOwn = false;
	if(!empty($_SESSION['customer_id']))
		$CustomersID = $_SESSION['customer_id'];
	if($CustomersID && $Value && $FieldName && $TableName) {
		$CustomersDataQuery = xtc_db_query("select ".$FieldName." from ".$TableName." where customers_id = '".$CustomersID."'");
		$CustomersData = xtc_db_fetch_array($CustomersDataQuery);
		if (strtolower($Value) == strtolower($CustomersData[$FieldName]))
			$isCustomersOwn = true;
	}
	return $isCustomersOwn;
}

$ErrorFlag = false;

if (!empty($_POST)) {
	if (isset($_POST['email_address'])) {
		require_once (DIR_FS_INC.'xtc_validate_email.inc.php');
		if (strlen($_POST['email_address']) < ENTRY_EMAIL_ADDRESS_MIN_LENGTH) {
				$ErrorFlag = true;
				$messageStack->add('error', ENTRY_EMAIL_ADDRESS_ERROR);
		} elseif (xtc_validate_email($_POST['email_address']) == false) {
				$ErrorFlag = true;
				$messageStack->add('error', ENTRY_EMAIL_ADDRESS_CHECK_ERROR);
		} elseif (!isUniqueData($_POST['email_address'],'customers_email_address',TABLE_CUSTOMERS)) {
			if(!isCustomersOwn($_POST['email_address'],'customers_email_address',TABLE_CUSTOMERS)) {
				$ErrorFlag = true;
				$messageStack->add('error', ENTRY_EMAIL_ADDRESS_ERROR_EXISTS);
			}
		}
	}
	if($ErrorFlag) {
		unset($_POST['action']);
		$smarty->assign('error', $messageStack->output('error'));
	}
}

Datt Janze gehört in die “boxes.php” - am besten direkt an den Anfang.

Hinweis: xt:Commerce überprüft von Haus aus nur, ob die eingegebene E-Mail-Adresse für Accounts mit Type ‘0′ mehrfach vorhanden ist.

xtc_db_query("select count(*) as total from ".TABLE_CUSTOMERS." where customers_email_address = '".xtc_db_input($email_address)."' and account_type = '0'");

Das wird wohl für “Gastkonten” gedacht sein, die ja meistens ohnehin nicht dauerhaft gespeichert werden …

Der Funktion isUniqueData(); im oben gezeigten Lösungs-Beispiel ist der “Account Type” bei der Prüfung wurscht - In meinem Fall war das nötig um zu vermeiden, dass “Gastkunden” unter einem bereits bestehenden Nickname irgendwelche Bewertungen schreiben können …

Die in diesem Beitrag beschriebene Änderung ist für xt:Commerce 3.04 SP2.1 gedacht und auch nur mit diesem System getestet. Da es sich allerdings um einen Shop mit importierten Daten handelt, der etliche hinzugebaute Erweiterungen hat, könnten in “normalen” Konfigurationen Fehler auftreten.

Bitte beachten Sie auch unbedingt die allgemeinen Hinweise zur Verwendung hier veröffentlichter Code-Beispiele - und probieren Sie solche Eingriffe bitte immer zuerst mit einem Test-System aus!

Bookmarks, Feed und Links

Kommentar-Feed: RSS 2.0
Trackback URL für diesen Beitrag

Wenn Ihnen dieser Beitrag geholfen hat ...

Beiträge zu ähnlichen Themen:

Phishing … ob darauf wohl noch jemand reinfällt?
Niedlich … Eine ähnliche Mail kursiert auch von einem “armen” eBay-Kunden, der angeblich schon lange vergeblich auf seinen Rollstuhl […]
xt:Commerce - CSS-Klasse zu Smarty-Tags hinzufügen
Smarty-Modifier: “myClass” für xt:Commerce Manchmal braucht man eine individuelle CSS-Klasse für einige Elemente, um sie im Template über das Stylesheet […]
Talkline
Lass mich zusehen! Talkline empfiehlt JAMES. Ein über das Internet steuer- und programmierbares Überwachungs-System, das je nach Konfiguration als Alarmanlage, […]
Kontakt
Ihre E-Mail an gunnart. Bitte füllen Sie unser Kontaktformular aus, wir werden uns umgehend bei Ihnen melden. {mailform} […]
Heben Sie sich ab.
Mit Werbung, die auffällt! Mehr als nur das “klassische” Programm aus Logo, Visitenkarten und Geschäftsbriefbögen - Wir geben Ihrem Unternehmen […]

17 Antworten zu xt:Commerce - mit doppelten E-Mail-Adressen Kunden aussperren

1. Leo Lezner schrieb am 1. September 2007 um 18:32 Uhr

Super Beitrag, vielen Dank.

Ich glaube es ist eine Kleinigkeit, aber deswegen hat das Ganze bei mir nicht funktioniert:

if (strlen($email_address)

muss wie folgt sein:

if (strlen($_POST['email_address'])

Sonst 1a
2. pufaxx schrieb am 1. September 2007 um 19:20 Uhr

Dank Dir für den Hinweis - Vielleicht hab ich beim “Entfernen” der Teile, die nur für meine Installation gedacht waren, etwas falsch gemacht.

Ich probier’s nachher noch mal mit einem “nicht modifizierten Shop” aus - und schreib ggf. noch mal etwas dazu.
3. pufaxx schrieb am 1. September 2007 um 21:54 Uhr

Stimmt, Recht hast Du, vielen Dank!

Bei mir ist $email_adress an der Stelle zwar durch einige andere Abläufe schon bekannt - Aber normalerweise ist die Variable leer - und würde quasi jedes Mal durch die Überprüfung fallen.

Ich hab beim “Code-Beispiel für Blogbeitrag umschreiben” nicht mehr daran gedacht …
4. Leo Lezner schrieb am 8. September 2007 um 00:14 Uhr

Noch eine “Kleinigkeit” zu der ganzen Sache: unset($_POST[’action’]) macht die Anmeldung sehr nervig, da, falls die email falsch eingegeben wurde, werden die eingetippten Daten futsch.
Auserdem noch ein Bug, was die Anderung der account_edit.php-Datei notwendig macht:
http://www.ecombase.de/forum/index.php?showtopic=5802
5. pufaxx schrieb am 8. September 2007 um 01:59 Uhr

Bei mir bleiben die Daten erhalten … Liegt vermutlich an einigen weiteren Modifikationen, die ich in meinen Projekten “standardmäßig” mit einbaue.

Ich denke, die “kleinen Details” sollte man ohnehin in jedem Shop noch einmal sorgfältig durchprobieren, da jede Installation doch irgendwie “anders” ist - Einen einheitlichen Fix für jeden Shop zu entwickeln, wird dann ein bisschen schwierig …

Zum Beispiel ist mir in einem ganz anderen Zusammenhang neulich aufgefallen, dass xt:Commerce keinerlei $_POST-Daten kennt, wenn man die ShopStat-Erweiterung installiert hat. In dem Fall müsste man mit $_REQUEST arbeiten.

Eventuell ist es daher allgemein sinnvoller, gleich ALLE “Fixes” bzw. alle eigenen Erweiterungen mit $_REQUEST zu basteln - denn das funktioniert auch in Shops ohne ShopStat.

Wobei man DA wiederum auf die Session-ID aufpassen muss, die in $_REQUEST immer mit drin ist …

6. avenger schrieb am 21. November 2007 um 13:56 Uhr

Gute Idee, habe ich mir gleich mal vorgenommen.

Habe den Code etwas optimiert und verkleinert, vor allem aber einen überflüssigen Datenbankzugriff entfernt.

$email_address=$_POST['email_address'];
if (isset($email_address))
{
	$message='';
	if (strlen($email_address) 0)
			{
				$Data = xtc_db_fetch_array($DataQuery);
				if ($Data[$customers_id]$_SESSION['customer_id'])
				{
					$message=ENTRY_EMAIL_ADDRESS_ERROR_EXISTS;
				}
			}
		}
	}
	if ($message)
	{
		unset($_POST['action']);
		$error='error';
		$messageStack->add($error, $message);
		$smarty->assign($error, $messageStack->output($error));
	}
}

7. pufaxx schrieb am 21. November 2007 um 15:03 Uhr

… das sieht das doch schon sehr viel aufgeräumter aus.

Aber wie ist es in der account_edit.php? Ich glaube, so dürfte es Fehlermeldugen, wenn man da etwas ändern möchte und die E-Mail-Adresse gleich bleibt …?

Jut, wie schon gesagt - bei “normalen” Shops kann’s sicher gut verkürzt werden, bei mir kam halt die “nickname”-Geschichte mit dazu, die sind dann auch nicht in der $_SESSION und in den bekannten Datenbank-Feldern drin gewesen, so dass man da schon noch gesondert nach fragen musste.

Bei Deinem Code-Beispiel hat’s übrigens ein paar schließende Dreiecks-Klammer zersägt … Falls im Beispiel noch Fehler sein sollten, bitte eine Mail schicken. Ich korrigier’s dann …

8. pufaxx schrieb am 22. November 2007 um 15:27 Uhr

Vorhin wurde per E-Mail Folgendes nachgereicht:


$email_address=$_POST['email_address'];
if (isset($email_address))
{
	$message= '' ;
	if (strlen($email_address) < ENTRY_EMAIL_ADDRESS_MIN_LENGTH)
	{
		$message=ENTRY_EMAIL_ADDRESS_ERROR;
	}
	else
	{
		require_once (DIR_FS_INC.'xtc_validate_email.inc.php');
		if (!xtc_validate_email($email_address))
		{
			$message=ENTRY_EMAIL_ADDRESS_CHECK_ERROR;
		}
		else
		{
			$customers_email_address='customers_email_address';
			$customers_id='customers_id';
			$UniqueDataQuery = xtc_db_query(
				'select '.$customers_id.' from '.TABLE_CUSTOMERS.' where '.$customers_email_address." = '".$email_address."'");
			if (xtc_db_num_rows($UniqueDataQuery)<>0)
			{
				$UniqueData = xtc_db_fetch_array($UniqueDataQuery);
				if ($UniqueData[$customers_id]<>$_SESSION['customer_id'])
				{
					$message=ENTRY_EMAIL_ADDRESS_ERROR_EXISTS;
				}
			}
		}
	}
	if ($message)
	{
		unset($_POST['action']);
		$error='error';
		$messageStack->add($error, $message);
		$smarty->assign($error, $messageStack->output($error));
	}
}

Vielen Dank dafür.

9. avenger schrieb am 23. November 2007 um 05:49 Uhr

>

Nun, diese Routine ist lediglich eine optimierte Variante dessen, was vorher gepostet war..

Aber der Einwand ist m.E. auch nicht berechtigt!

Bei “account_edit” kann ja nur der aktive Benutzer seinen Account editieren, so dass die implementierte Prüfung ausreichend ist.

Anders wäre das im Admin-Bereich, aber hier wird ja nur der Shop-Bereich geprüft.

D.h., man muss bei aktivem Script “account-edit.php”
10. markus schrieb am 29. Dezember 2007 um 13:18 Uhr

Anstatt den ganzen Code zu ändern, kann man das auch im Datenbankmodell anpassen.

ALTER TABLE `customers` ADD UNIQUE `email` ( `customers_email_address` );
11. marcinho schrieb am 31. Dezember 2007 um 15:12 Uhr

Nachdem ich das nun so eingebaut habe, funktioniert das Anlegen von Gastaccounts nicht mehr, da dann eine Meldung kommt, dass die eMail-Adresse schon existiert, wenn ein Gast zum wiederholten Male einkauft…
12. Tommy schrieb am 30. Juni 2008 um 01:01 Uhr

Hallo,
ich suche eigentlich etwas anderes,bzw. etwas ähnliches. Ich würde gerne einen Kunden anhand des Names und des Wohnortes ausperren, also kein Konto anlegen, keine Gasteinkäufe, einfach nix, nada!

Gibt es da ne Möglichkeit?

Mfg
Tommy
13. Klaus schrieb am 21. Januar 2009 um 09:52 Uhr

Meines Erachtens wäre es einfacher, wenn es ruhig Mehrfacheintragungen geben kann falls die erste Mailadresse nicht zum Passwort passt, einfach weitergeschaut wird, ob weiter unten die Mailadresse nochmal vorkommt und dann erneut mit dem Passwort verglichen wird.

So kann Müller2 nicht ausgesperrt werden und trotzdem können sich mehrere Personen ein Mailadresse teilen (wenns halt so sein soll).

Bei Firmen erlebe ich das manchmal.
14. Wittmann Manfred schrieb am 17. Januar 2010 um 09:15 Uhr

Hallo,

zu diesen Thema habe ich noch ein kleines Problem:
Wenn sich ein Kunde bereits mit seiner e-mail als Newsletterkunde eingetragen hat und möchte danach ein Konto erstellen, bekommt er die Fehlermeldung: “Ihre eingegebene eMail-Adresse ist fehlerhaft - bitte überprüfen Sie diese.”
und er hat keinerlei Möglichkeit sich zu registrieren.

Wie kann diese Problem beheben?

Vielen Dank im voraus
15. Karl schrieb am 18. Januar 2010 um 10:58 Uhr

Vielen Dank!!!!

Habe den letzten Schnipseln eingefügt und es funzt.
Fehler die einen immer wieder zum Staunen bringen.
16. Karl schrieb am 26. Januar 2010 um 21:40 Uhr

Hallo Manfred, Hallo pufax,
funzt doch nicht so!

Habe es wieder entfernt. Denn auch Gastkonten wurden nicht angenommen wenn die eMail bereits vorhanden war! Habe dann die Geschichte von Hetfield eingebaut und auch die verifikation bei edit_account eingebaut, das man die Mail nicht ändern kann wenn diese bereits in der Datenbank drin ist.

Mit dem boxex.php ist das irgendwie zu global und in der Hirachie steht das über den anderen Befehlen.

17. karl schrieb am 27. Januar 2010 um 18:23 Uhr

Hallo,
wie müßte man den code ändern, damit die Überprüfung direkt in die account_edit.php eingebaut werden kann?
$check_email_query = xtc_db_query("select count(*) as total from ".TABLE_CUSTOMERS." where customers_email_address = '".xtc_db_input($email_address)."' and account_type = '0'");
		$check_email = xtc_db_fetch_array($check_email_query);
		if ($check_email['total'] > 0) {
			$error = true;

			$messageStack->add('account_edit', ENTRY_EMAIL_ADDRESS_ERROR_EXISTS);
		}
Das hatte ich von anderer Stelle so übernommen und war für den LogIn Bereich gedacht. Wenn ich das so einbaue kann man alle Mailadressen einbegen auch doppelte.

Bekomme das mit der Abfrage nicht hin.