Funktion auslösen beim Speichern des Moduls

biinng · 24. Juli 2017

Hallo Community, ich erstelle mir aktuell gerade ein Modul um Daten aus einer XML zu extrahieren und diese in eine DB zu importieren.
Die Funktion funktioniert so wie ich es mir wünsche. Nur wie bekomme ich es hin das wenn der User im Backend das Modul mit den geforderten Daten gefüllt hat und auf Speichern klickt das dann die unten aufgeführte Funktion aufgerufen wird bzw. ausgeführt wird?

Spoiler anzeigen

biinng · 24. Juli 2017

Nachtrag um es besser zu erläutern ein Bild aus dem Backend .

Wenn ich nun auf Speichern klicke möchte ich gern die Funktion "getInsertUserAllyXml" auslösen. Geht diese überhaupt mit dem Speichern Button oder muss ich mir dazu ein neuen Anlegen?

Spoiler anzeigen

biinng · 25. Juli 2017

nach dem ich nun ein wenig herumprobiert habe bin ich auf einen Lösung gekommen. Es ist zwar noch nicht ganz fertig aber der Grundaufbau funktioniert soweit. Die Funktion wird mit dem Aufruf der Moduls im Frontend ausgelöst.

Spoiler anzeigen

SniperSister · 25. Juli 2017

Drei Tipps:
1. nutze JHTTP statt fopen, das ist zuverlässiger
2. du solltest das Ergebnis der HTTP Abfrage mittels JCache zwischenspeichern, du ruinierst dir sonst die Performance der Seite
3. du hast eine SQL Injection Lücke im Code. Du musst die Werte escapen, bevor du sie in der Query verwendest.

biinng · 25. Juli 2017

Danke für deine Tipps. Die ersten beiden werde ich verfolgen und nach möglichkeit auch Umsetzen.

Der dritte Punkt entzieht sich mir. Warscheinlich durch unwissenheit.
Es gibt keine Eingabemaske im Frontend und es werden keine Daten per URL übergeben. Dazu kommt noch das ich keine Ahnung habe wie ich zb. das implode mit 'mysqli_real_escape_string' escapen kann. Ich würde mich freuen wenn du mir sagst wo mein Fehler liegt bzw. die besagte Lücke.

Spoiler anzeigen

Code

/* player.xml into db #__ogameally
* userid_ogame, user_name_ogame, status_ogame, ally_id_ogame
*/    public static function getInsertUserAllyXml(&$params, $playerXml, $timestampDb) {


        // database connection
        $db    = JFactory::getDbo();
        $query = $db->getQuery(true);

        //Check that URL is reachable 
        if (!fopen($playerXml, "r")){ return ('XML Server nicht erreichbar.');}        

        // xml datei
        $xmlFile = simplexml_load_file($playerXml)or die("Error: Cannot create object");        
        $xmlName = $xmlFile->getName();    
        $timestampXml = $xmlFile['timestamp'];

        $resultXml = $xmlFile->xpath('/players/player');        


        if ($timestampXml != $timestampDb ){

            foreach ( $resultXml as $arrayId => $rohdata )
            {
                if (empty($rohdata['status'])){
                        $rohdata['status'] = '-';
                    }
                if (empty($rohdata['alliance'])){
                        $rohdata['alliance'] = '0';
                    }

                $id = $rohdata['id'];
                $name = $rohdata['name'];
                $status = $rohdata['status'];
                $ally = $rohdata['alliance'];


                $daten [] = "( '$id', '$name', '$status', '$ally')";        
            }            

            $daten1 = implode(', ', $daten);
            $queryDb = ("REPLACE INTO #__ogameally ( `userid_ogame`, `user_name_ogame`, `status_ogame`, `ally_id_ogame`)VALUES"). $daten1;
            $db->setQuery($queryDb);
            $result = $db->execute();

            $queryDb = "REPLACE INTO #__ogameXmlTime ( `xml_name`, `xml_timestamp`)VALUES('$xmlName' , '$timestampXml');";
            $db->setQuery($queryDb);
            $result = $db->execute();

            return 'Daten werden aktualisiert';    //wird entfernt nach fertigstellung
        }    
            return 'Daten sind aktuell' ; //wird entfernt nach fertigstellung
    }

Alles anzeigen

SniperSister · 25. Juli 2017

Fragen wir mal andersherum: was passiert denn, wenn in besagtes XML mal bösartige SQL-Befehle eingestreut werden? Du gibst die hier 1 zu 1 an die Datenbank weiter und hast dadurch ein Problem. Ja, ich weiß, das ist vielleicht nicht sonderlich wahrscheinlich - aber es gibt keinen Grund diese potenzielle Lücke offen zu lassen.

biinng · 25. Juli 2017

Da hast du absolut recht. Also verstehe ich das richtig das ich die entgegengenommenen Daten nur auf richtigkeit Prüfen soll?

Ob es eine Zahl oder Buchstaben ist .
In meinem Fall diese:
$rohdata['id'], $rohdata['name'], $rohdata['status'], $rohdata['alliance']

SniperSister · 25. Juli 2017

Korrekt. Wenn die ID numerisch ist kannst du die z.B. mittels

Code

(int) $rohdata["id"]

umwandeln. Die Strings werden über die API escaped und gequotet:
https://docs.joomla.org/Secure…guidelines#Secure_strings

biinng · 25. Juli 2017

Ich habe es nun angepasst und glaub dich verstanden zu haben. Danke sehr für die Hilfe.

Code

$id = (int) $rohdata['id'];
$name = preg_replace("/[^a-zA-Z0-9 ]/","",$rohdata['name']);
$status = preg_replace("/[^a-zA-Z]/","",$rohdata['status']);
$ally = (int) $rohdata['alliance'];

SniperSister · 25. Juli 2017

Die Variante mit dem preg_replace ist schonmal ein sehr guter Anfang, aber warum lässt du die einzelnen Werte nicht trotzdem escapen?

biinng · 25. Juli 2017

Edit: ~~Scheinbar mache ich es nicht wirklich richtig da ich nicht die gewünschten Daten zurück bekomme.~~

Ich bin mir zwar nicht sicher ob das richtig ist aber so funktioniert es.

Code

$daten1 = implode(', ', $daten);        $queryDb = ("REPLACE INTO #__ogameally ( `userid_ogame`, `user_name_ogame`, `status_ogame`, `ally_id_ogame`)VALUES"). $daten1;$queryDb .= $db->mysqli_real_escape_string($queryDb);$db->setQuery($queryDb);$result = $db->execute();

print_r $queryDb;

Code

REPLACE INTO #__ogameally ( `userid_ogame`, `user_name_ogame`, `status_ogame`, `ally_id_ogame`)VALUES
( '1', 'Legor', 'a', '0'), 
( '100000', 'GameAdmin', 'a', '0'), 
( '100003', 'comagf', 'a', '0'), 
( '100004', 'GameOperator', 'a', '0'), 
( '100005', 'OGameTech', 'a', '0'), 
( '100011', 'Maggi', 'a', '0'), 
( '100023', 'Lord of Darkness', 'vI', '0'), 
( '100028', 'Quoren', 'vI', '2'), 
( '100029', 'Sniper on Hill', 'vI', '0'),  usw...

SniperSister · 25. Juli 2017

Hast du den Link zur Doku angeschaut, den ich gepostet habe?

biinng · 25. Juli 2017

Den Link von dir habe ich mir angeschaut... Betonung liegt auf Angeschaut und da war ich gleich völlig verwirrt.

Ich habe mir das hier zur Hilfe genommen.
http://php.net/manual/de/mysqli.real-escape-string.php

Ich werde aber heute Abend noch mal genauer Lesen und dann lieber die Joomlavariante nutzen. Schließlich hat das Framework ja einen Sinn.

biinng · 26. Juli 2017

Mahlzeit miteinander .

Nachdem ich das escapen in Angriff genommen habe bin ich ein Stück weiter gekommen aber nun gibt es scheinbar ein SQL syntax error .

Spoiler anzeigen

return($queryDb);

Spoiler anzeigen

SniperSister · 26. Juli 2017

Eher so:

Code

$id = (int) $rohdata['id'];
                $name = preg_replace("/[^a-zA-Z0-9 ]/","",$rohdata['name']);
                $status = preg_replace("/[^a-zA-Z]/","",$rohdata['status']);
                $ally = (int) $rohdata['alliance'];
                $daten[] = "($id, " . $db->quote($db->escape($name)) . ", " . $db->quote($db->escape($status)) . ",  $ally)";             
            }            

            $daten1 = implode(', ', $daten);        

            $queryDb = 'REPLACE INTO #__ogameally ( `userid_ogame`, `user_name_ogame`, `status_ogame`, `ally_id_ogame`) VALUES ' . $daten1;

biinng · 26. Juli 2017

Danke dir , das heißt man kann nur einzelne Werte escapen und nicht verkettete Werte?
Das hat natürlich sofort funktioniert. Wie kann ich denn in Zukunft Testen ob das Escapen funktioniert hat. Weil wen ich zb. $daten mit print_r ausgebe sehe ich kein Unterschied.

Ein weiteres Anliegen wäre dann das Cachen der Werte. Hast du da zufällig noch ein paar verweiße zum nachlesen dazu?

Dieses Beispiel (https://docs.joomla.org/Using_caching_to_speed_up_your_code) ist für mich zu undurchsichtig und dieses (http://www.bzzzz.biz/blog/joom…n-joomla-extensions.bzzzz) ein wenig veraltet.

SniperSister · 26. Juli 2017

Zitat von biinng

Danke dir , das heißt man kann nur einzelne Werte escapen und nicht verkettete Werte?

Beim Escaping geht es ja darum, einen String (z.B. Wert oder Spaltennamen) den man an eine Datenbank übergibt, vorher so zu behandeln, dass er nicht mehr schädlich sein kann. Beispiel:

SQL

SELECT password FROM users WHERE email = "$email"

Was passiert wenn du hier als $email ein

Code

" OR "1" = "1

übergibst?

Richtig, das hier:

SQL

SELECT password FROM users WHERE email = "" OR "1" = "1"

Damit bekommst du dann plötzlich nicht mehr das Passwort von einem bestimmten Nutzer sondern die Passwörter von allen Nutzern, denn "1" = "1" trifft immer zu.

Das Escaping wandelt solche "Steuerzeichen" also um und escaped sie durch ein \ womit sie als normales Zeichen eingelesen werden - das sieht man dann ja in deiner Fehlermeldung.

Zitat von biinng

Das hat natürlich sofort funktioniert. Wie kann ich denn in Zukunft Testen ob das Escapen funktioniert hat. Weil wen ich zb. $daten mit print_r ausgebe sehe ich kein Unterschied.

Schmeiß ein paar pöse Zeichen rein.

Zitat von biinng

Ein weiteres Anliegen wäre dann das Cachen der Werte. Hast du da zufällig noch ein paar verweiße zum nachlesen dazu?

Der erste Link ist da eigentlich ganz gut, was anderes hab ich leider auch nicht zur Hand.

biinng · 27. Juli 2017

Moin Moin miteinander. Ich habe nun versucht den Cache einzubinden. Die Seite default.php wird im Cache abgelegt. Zwei Fragen habe ich dazu. Wird die Seite dann auch aus dem Cache geladen oder muss ich das noch einbinden?

modul Controller Datei

Spoiler anzeigen

Funktion auslösen beim Speichern des Moduls

Zum hilfreichsten Beitrag springen

Tags