osCommerce ist eine tolle Software und dazu kostenfrei.
Nun hat mir jemand die Version auf http://www.strelitzer.de empfohlen.
genauso fand ich andere modifizierte Versionen. Kann mir jemand etwas die Richtung geben, wie ich mich am besten entscheide?
Homepage selbermachen 7.851 Themen, 35.615 Beiträge
Hallo Kleiner Maulwurf, hallo Frank,
als erstes einen Dank für diesen Beitrag. Vielleicht wendet sich der "Kleine Maulwurf" mal direkt an mich, so daß ich ihm die Sachen erklären kann.
Die anderen Argumente kann ich natürlich nicht ganz so stehen lassen. osCommerce arbeitet (in der Version 2.2 MS2) freilich noch mit den obligatorischen Einstellung "register_globals=on", doch ist das allein noch lange kein Sicherheitsproblem. Wie Frank schon richtig bemerkte, besteht bei dieser Einstellung grundsätzlich die Gefahr, Variablenwerte von außen zu injizieren, wenn diese nicht eigens deklariert werden. In der auf www.oscommerce.com zur Verfügung stehenden Version ist die Injektion kaum möglich.
Die von unabhängiger Seite gefundenen Sicherheitslücken waren gänzlich anderer Natur und sind in der aktuellen Version kein Thema mehr.
Was die Sicherheit der Contributionen anbelangt, ist das ein ganz anderes Thema. Das System Open Source läßt solche Beiträge ausdrücklich zu. Auf der Downloadseite steht ausdrücklich, daß die Benutzung auf eigene Gefahr erfolgt. Wie auf dieser Seite bereits richtig bemerkt wurde, kann die Benutzung von Contributionen durch Leute, die keinerlei Ahnung von PHP haben, höchst gefährlich sein.
Ob bei "register_globals=on" ein erhöhtes Risiko besteht, "schlechte Werte" zu injizieren, kann man im Groben vortesten, indem man in application_top.php die Zeile:
error_reporting(E_ALL & ~E_NOTICE);
ändert in:
error_reporting(E_ALL);
Dann wird der Gebrauch von nichtdeklarierten Variablen durch eine Notice quittiert.
Nur mal ganz nebenbei: Versucht doch mal, mit dieser Einstellung das sooo sichere XT:Commerce zu betreiben. ;-)
Allerdings sind diese globals nicht der einzige Weg, Werte zu injizieren.
Selbst wenn keine ungeliebten Werte kommen, müssen diese ausgiebig getestet werden. Gerade CMS haben damit immer wieder ihre liebe Not. Und auch Fachleute und solche, die sich dafür halten, machen immer wieder Fehler. Welchen ich bei Frank gefunden habe, schreibe ich hier nicht. (Wenn Du Frank ihn erfahren willst, kannst Du Dich ja an mich wenden. Du wirst mein Kontaktformular schon finden.)
Ansonsten sind alle herzlich eingeladen, Sicherheitslücken in meiner Installation des von mir modifizierten osCommerce Shop zu finden.
Allerdings möchte ich die Aussagen zum Thema XHTML nicht unkommentiert stehen lassen. Tabellen sind ein ausdrücklicher Bestandteile von HTML und auch von XHTML. Allerdings sind die HTML-Browser traditionell fehlertolerant.
XHTML stellt ein Bindeglied von HTML zum Document Object Model (DOM) dar. DOM beschreibt eine Seite und seine Elemente. Um die einzelnen Elemente zu identifizieren können XHTML-Parser keine Fehler tolerieren. Insofern sind die Regeln bei XHTML wesentlich strenger.
Trotzdem hat Frank bedingt Recht, wenn er bemängelt, daß auch ich noch Überschriften als div oder td benutze. Einen Teil davon habe ich nun in h2 geändert. Manchmal sieht man den Wald vor Bäumen nicht. Danke für diesen Anstoß.
Das mit dem "verballern" ist ja nun SO nicht von mir! Auch Frank hat so seine Probleme. Auch mit dem "verballern". Öffentliche Hinweise gebe ich auch hier leider nicht.
Ein nicht ganz einfach zu lösendes Problem bei der Ablösung von Tabellen sind und bleiben die Hintergründe. Während man bei Tabellen durch die Angabe von "height:100%" bei td die Hintergründe bis unten durchziehen kann, ist das bei floatenden divs nicht möglich.
Resümierend möchte ich darauf hinweisen, daß osCommerce eine ideale Basis zur Realisierung eines eigenen Onlineshops darstellt. Ich arbeite nun seit weit über 4 Jahren damit und habe so viele unterschiedliche Wünsche von Shopbetreibern kennengelernt, daß ich der Meinung bin, daß für die meisten Anwender osCommerce besser geeignet ist als XT. Wer allerdings meint, daß XT genau das beinhaltet, was ER braucht und damit sofort arbeiten kann, hat damit auch garantiert eine gute Wahl getroffen. Gerade bezüglich der deutschen Rechtslage sind in osCommerce 2.2 MS2 einige Sachen zu modifizieren, die in XT bereits enthalten sind.
Genau DAS trifft allerdings auch für meine Version zu. Mir persönlich wären in XT einige Sachen zu sehr aufgeblasen und unübersichtlich. Dadurch leidet unter anderem auch die Last der Datenbank und Templatesysteme fressen immer Performance. Zumal eine Trennung von statischem und dynamischen Inhalten nicht vollkommen möglich ist.
Das war mein Beitrag zum Thema. Allen Lesern noch einen schönen Tag, viel Spaß am Internet, wenig Spam und Frieden.
Ingo