Bug o Feature:Ändern von Daten im Frontend erfordert PW Feld

[Liquid]

Hi Leute,

bin gerade über ein Problem gestolpert dass ich als Bug bezeichnen würde.

Habe in einem interne Bereich eine Seite erstellt auf der der Benutzer Name,Vorname und Email ändern kann.
Beim absenden kam immer das JS Alert "Das Passswort(Password) ist nicht ausgefüllt", da es ja kein PW Feld gibt hab ich erstmal gedacht wtf und dann angefangen die Formularüberprüfung und alles andere rauszunehmen um dem Fehler auf die Spur zu kommen.
Das einzige was am Schluss übrig blieb war we:saveRegisteredUser, dort alle möglichen und unmöglichen Optionen probiert und mir dann mal den Quelltext des Tags angesehen.

Code: Alles auswählen

// Zeile 157
}else{ // existierender User (Daten werden von User geaendert)!!

                if(strlen($_REQUEST["s"]["Password"]) == 0){
                    if(!$passempty){
//$passempty prüft ob im Attrib passempty was eingegeben wurde, ansonsten Standardtext
                        $passempty = $l_customer["password_empty"];
                    }
                    print getHtmlTag('script',array('type'=>'text/javascript'), 'history.back();' . we_message_reporting::getShowMessageCall($passempty, WE_MESSAGE_FRONTEND));

                }else{

 

Aha, da kommt also mein JS Alert her.
Wenn ich jetzt ein hiddenfield

Code: Alles auswählen

<input type="hidden" name="s[Password]" value="<?php echo $_SESSION['webuser']['Password']; ?>" /> 

einfüge kann ich die Daten speichern.

Meine Frage:
1. Besteht die Notwendigkeit dieser Prüfung, da der User ja angemeldet ist
2. War das schon immer so?!

Das Projekt läuft noch auf einer 5er, falls ihr das auch als Bug seht sollte geprüft werden ob das in der 6er auch so ist und man das ggf ändert.

[MarS]

Das ist auch in der aktuellen Entwicklungsversion noch der Fall.
Leider kann ich jetzt auf die Schnelle auch nicht sehen, ob das wirklich benötigt wird.
Bei der Kundenverwaltung habe ich mich eh schon in einem anderen Fall gefragt (für einen Datei-Upload muss die UserID im Request übergeben werden, obwohl sie in der Session steht), ob man da nicht einiges verbessern kann, da die Daten ja eh in der Session stehen.

Schreib's doch als Feature-Request in http://qa.webedition.de rein.

Gruß, Martin

[Liquid]

Alles klar mach ich

[ArminSchulz]

Hallo,

also, wenn ich das richtig sehe, gehört Zeile 157 noch in den Bereich Neuer User
(von Z 46 ..170)
Z170: }else{ // existierender User (Daten werden von User geaendert)!!

$Username = isset($_REQUEST["s"]["Username"]) ? $_REQUEST["s"]["Username"] : "";


danach wird gepüft ob sich ev. der Username gerade ändern soll,
die protected felder rausgenommen,
alles in der DB gespeichert und dann die Session upgedatet.
Kein Test auf das password.
Das ist allerdings Stand 6.0.0.5 (also auch obige Zeilennummern)

Grüße aus Berlin

[Liquid]

Okay, dann wurde das anscheinend schon gefixt.
Jetzt hab ich aber auch schon nen Eintrag in der Bugbase gemacht...

[MarS]

Armin hat Recht, die Zeile ist im oberen if-Zweig, der nur für UserID <= 0, also neu angelegte User gilt.
Tut mir Leid, wegen des unnötigen Aufwands für den Bug-Report, ich werd das in Zukunft besser prüfen.

Gruß, Martin

[Liquid]

Passt schon, war ja kein Aufwand und das Problem ist geklärt.
Aber wie schon gesagt, die Daten kommen ja auch noch aus der 5er und ich habe heute leider nicht die Möglichkeit es in einer 6er zu testen, weswegen ichs gepostet habe...