mis apuntes oscommerce » OsCommerce

osCommerce Update 060817

admin — Thu, 14 Sep 2006 17:17:14 +0000

Nueva revisión ya disponible desde el download de OsCommerce , osCommerce 2.2 Milestone 2 Update 060817

Los cambios en esta nueva revisión de oscommerce son los siguientes:

## Update 060817 (17th August 2006)

- Magic Quotes Compatibility Layer Fix
- Parse GET Variables In Cache Functions
- PHP 3 Session ID XSS Issue
- Product Attributes SQL Injection
- Resize Images To Round Numbers
- Use The Correct Country Name Value When Formatting Addresses
- Prevent The Session ID Being Passed In Tell-A-Friend E-Mails
- Properly Remove Deleted Products That Exist In Shopping Carts

Y estos son las soluciones , por si quieres actualizar tu oscommerce :

Cambio 1:

Reemplazar en catalog/includes/functions/compatibility.php:

Lineas 22-23, de:

if (is_array($value)) { do_magic_quotes_gpc($value);

if (is_array($ar[$key])) { do_magic_quotes_gpc($ar[$key]);

Reemplazar en catalog/admin/includes/functions/compatibility.php:

Lineas 22-23, de:

if (is_array($value)) { do_magic_quotes_gpc($value);

a:
if (is_array($ar[$key])) { do_magic_quotes_gpc($ar[$key]);

——————————————————————————
Parse GET Variables In Cache Functions

http://svn.oscommerce.com/trac/changeset/708

——————————————————————————

Cambio 2:

Reemplazar en catalog/includes/functions/cache.php:

Linea 121, de:

if (isset($HTTP_GET_VARS['manufactuers_id']) && tep_not_null($HTTP_GET_VARS['manufacturers_id'])) {

if (isset($HTTP_GET_VARS['manufactuers_id']) && is_numeric($HTTP_GET_VARS['manufacturers_id'])) {

Lineas 142-148, de:

if (($refresh == true) || !read_cache($cache_output, 'also_purchased-' . $language . '.cache' . $HTTP_GET_VARS['products_id'], $auto_expire)) { ob_start(); include(DIR_WS_MODULES . FILENAME_ALSO_PURCHASED_PRODUCTS); $cache_output = ob_get_contents(); ob_end_clean(); write_cache($cache_output, 'also_purchased-' . $language . '.cache' . $HTTP_GET_VARS['products_id']); }

$cache_output = '';

if (isset($HTTP_GET_VARS['products_id']) && is_numeric($HTTP_GET_VARS['products_id'])) { if (($refresh == true) || !read_cache($cache_output, 'also_purchased-' . $language . '.cache' . $HTTP_GET_VARS['products_id'], $auto_expire)) { ob_start(); include(DIR_WS_MODULES . FILENAME_ALSO_PURCHASED_PRODUCTS); $cache_output = ob_get_contents(); ob_end_clean(); write_cache($cache_output, 'also_purchased-' . $language . '.cache' . $HTTP_GET_VARS['products_id']); } }

——————————————————————————
PHP 3 Session ID XSS Issue

http://svn.oscommerce.com/trac/changeset/709

——————————————————————————

Cambio 3:

Añadir a catalog/includes/classes/sessions.php:

Linea 380:

if (!empty($session->id)) { if (preg_match('/^[a-zA-Z0-9]+$/', $session->id) == false) { unset($session->id); } }

——————————————————————————
Product Attributes SQL Injection

http://svn.oscommerce.com/trac/changeset/703

——————————————————————————

Cambio 4:

Reemplazar en catalog/includes/classes/shopping_cart.php:

Linea 84, de:

if (is_numeric($products_id) && is_numeric($qty)) {

a:
$attributes_pass_check = true;


if (is_array($attributes)) {

  reset($attributes);

  while (list($option, $value) = each($attributes)) {

    if (!is_numeric($option) || !is_numeric($value)) {

      $attributes_pass_check = false;

      break;

    }

  }

}

if (is_numeric($products_id) && is_numeric($qty) && ($attributes_pass_check == true)) {

Linea 125, de:

if (is_numeric($products_id) && isset($this->contents[$products_id_string]) && is_numeric($quantity)) {

$attributes_pass_check = true;


if (is_array($attributes)) {

  reset($attributes);

  while (list($option, $value) = each($attributes)) {

    if (!is_numeric($option) || !is_numeric($value)) {

      $attributes_pass_check = false;

      break;

    }

  }

}

if (is_numeric($products_id) && isset($this->contents[$products_id_string]) && is_numeric($quantity) && ($attributes_pass_check == true)) {

Reemplazar en catalog/shopping_cart.php:

Lineas 84-85, de:

where pa.products_id = '" . $products[$i]['id'] . "' and pa.options_id = '" . $option . "'

a:
where pa.products_id = '" . (int)$products[$i]['id'] . "' and pa.options_id = '" . (int)$option . "'

Line 87, de:

and pa.options_values_id = '" . $value . "'

and pa.options_values_id = '" . (int)$value . "'

Lines 89-90, de:
and popt.language_id = '" . $languages_id . "' and poval.language_id = '" . $languages_id . "'");

and popt.language_id = '" . (int)$languages_id . "' and poval.language_id = '" . (int)$languages_id . "'");

——————————————————————————
Resize Images To Round Numbers

http://www.oscommerce.com/community/bugs,1371

http://svn.oscommerce.com/trac/changeset/707

——————————————————————————

Cambio 5:
Reemplazar en catalog/includes/functions/html_output.php:

Line 91, de:

$width = $image_size[0] * $ratio;

$width = intval($image_size[0] * $ratio);

Line 94, de:

$height = $image_size[1] * $ratio;

$height = intval($image_size[1] * $ratio);

——————————————————————————
Use The Correct Country Name Value When Formatting Addresses

http://www.oscommerce.com/community/bugs,1291

http://svn.oscommerce.com/trac/changeset/713

——————————————————————————

Cambio 6:

Reemplazar en catalog/includes/functions/general.php:

Line 453, de:

$country = tep_output_string_protected($address['country']);

$country = tep_output_string_protected($address['country']['title']);

La siguiente linea debe ser borrada:

Line 483:

if ($country == '') $country = tep_output_string_protected($address['country']);

——————————————————————————
Prevent The Session ID Being Passed In Tell-A-Friend E-Mails

http://www.oscommerce.com/community/bugs,3986

http://svn.oscommerce.com/trac/changeset/715

——————————————————————————

Cambio 7:

Reemplazar en catalog/tell_a_friend.php:

Linea 77, de:

$email_body .= sprintf(TEXT_EMAIL_LINK, tep_href_link(FILENAME_PRODUCT_INFO, 'products_id=' . $HTTP_GET_VARS['products_id'])) . "\n\n" .

$email_body .= sprintf(TEXT_EMAIL_LINK, tep_href_link(FILENAME_PRODUCT_INFO, 'products_id=' . $HTTP_GET_VARS['products_id'], 'NONSSL', false)) . "\n\n" .

——————————————————————————
Properly Remove Deleted Products That Exist In Shopping Carts

http://www.oscommerce.com/community/bugs,3193

http://svn.oscommerce.com/trac/changeset/717

——————————————————————————

Cambio 8:

Reemplazar en catalog/admin/includes/functions/general.php:

Lines 900-901, de:

tep_db_query("delete from " . TABLE_CUSTOMERS_BASKET . " where products_id = '" . (int)$product_id . "'"); tep_db_query("delete from " . TABLE_CUSTOMERS_BASKET_ATTRIBUTES . " where products_id = '" . (int)$product_id . "'");

tep_db_query("delete from " . TABLE_CUSTOMERS_BASKET . " where products_id = '" . (int)$product_id . "' or products_id like '" . (int)$product_id . "{%'"); tep_db_query("delete from " . TABLE_CUSTOMERS_BASKET_ATTRIBUTES . " where products_id = '" . (int)$product_id . "' or products_id like '" . (int)$product_id . "{%'");

Crea tus botones para Oscommerce

admin — Mon, 27 Mar 2006 11:17:29 +0000

Si necesitas crear tus propios botones para OsCommerce, existe una página que puede ayudarte mucho y muy fácilmente

Osc Buttons

Elige tu color, el fondo, el idioma… Gran ayuda para personalizar tu tienda on-line

Selección.. Spain

admin — Sun, 29 Jan 2006 18:17:04 +0000

Una pequeña mejora para la creación de una nueva cuenta de usuario.

Este ejemplo sirve para España (Spain) , y lo que hace es seleccionar Spain directamente en el formulario, en vez del Seleccione. Es para aquella gente que suele vender en territorio nacional principalmente, aunque cambiando el código, puedes poner el país que desees. 195 para Spain

Editar create_account y busca..

' . ENTRY_COUNTRY_TEXT . '': ''); ?>

y cámbialo por:

' . ENTRY_COUNTRY_TEXT . '': ''); ?>

Lo que se añade es el ‘195′ indicando así España, digo Spain…

QFACWIN . Software de gestión orientado a OsCommerce

admin — Tue, 17 Jan 2006 22:16:40 +0000

QFACWIN es el software de gestión ideal para tu empresa, comercio o actividad profesional.

Te permite gestionar rápida y eficazmente pedidos, albaranes, facturas, compras, gastos, impuestos, vendedores, artículos, servicios, almacén, clientes, presuntos clientes, proveedores, cobros, remesas bancarias, promociones, etc.

Además de tener acceso inmediato a tus datos, con QFACWIN puedes generar al momento estadísticas, gráficas de ventas y listados, etiquetas, cartas y fichas configurados con la información que necesites y editarlos con Word o Excel. Puedes personalizar tus impresos: facturas, albaranes, pedidos y recibos con el diseñador de formularios.

Con todas estas prestaciones, QFACWIN te sorprenderá porque es muy fácil de utilizar. El programa y toda la documentación están en español y dispone de parámetros de configuración para adaptarlo a la terminología y peculiaridades de cada país.

Pruebalo ahora gratuitamente y por tiempo ilimitado pulsando aquí

Además, TRASPASO A OSCOMMERCE es el programa que traspasa los datos de los artículos y categorías (descripciones, precios, existencias, fotografías, etc.) del programa de facturación QFACWIN a la tienda virtual osCommerce llenando la tienda automáticamente.

Revisión 051113 de OsCommerce

admin — Fri, 02 Dec 2005 17:25:07 +0000

Listado de los arreglos realizados en esta nueva versión de OsCommerce

1/ customer_country_id en addressbook

Cuando el cliente actualiza su direccion en la pagina de Mi cuenta, el valor del pais esta guardada en una variable incorrecta que puede causar un valor de impuesto incorrecto usado en el precio de los productos.

Solución:
Las siguientes lineas deben ser reemplazadas en catalog/address_book_process.php:

Linea 150, de:

$customer_country_id = $country_id;

$customer_country_id = $country;

Linea 171, de:

$customer_country_id = $country_id;

$customer_country_id = $country;

2/ Cannot re-assign $this

Fatal error: Cannot re-assign $this in /path/to/catalog/admin/includes/classes/upload.php on line 31

Solución:

Lineas 27-34 en catalog/admin/includes/classes/upload.php cambiar:

if ( ($this->parse() == true) && ($this->save() == true) ) { return true; } else { // self destruct $this = null;

return false; }

if ( ($this->parse() == true) && ($this->save() == true) ) { return true; } else { return false; }

3/ limit -20, 20

1064 – You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘-20, 20′ at line 1

Solución:

Linea 67 en catalog/includes/classes/split_page_results.php, cambiar:

$this->sql_query .= " limit " . $offset . ", " . $this->number_of_rows_per_page;
a:

$this->sql_query .= " limit " . max($offset, 0) . ", " . $this->number_of_rows_per_page;

Linea 38 en catalog/admin/includes/classes/split_page_results.php, cambiar:

$sql_query .= " limit " . $offset . ", " . $max_rows_per_page;

$sql_query .= " limit " . max($offset, 0) . ", " . $max_rows_per_page;

4/ Cambio en el Input de la Base de Datos

Problema:

Funciones de MySQL deben ser usadas con prioridad a la funcion addslashes(), para proteger debidamente los queries SQL en el servidor de base de datos.

Solución:

La siguiente función debe ser reemplazada en catalog/includes/functions/database.php.

Lineas 126-128, de:

function tep_db_input($string) { return addslashes($string); }

function tep_db_input($string, $link = 'db_link') { global $$link;


  if (function_exists('mysql_real_escape_string')) {

    return mysql_real_escape_string($string, $$link);

  } elseif (function_exists('mysql_escape_string')) {

    return mysql_escape_string($string);

  }

return addslashes($string); }

La siguiente funcion debe ser reemplazada en catalog/admin/includes/functions/database.php.

Lineas 130-132, de:

function tep_db_input($string) { return addslashes($string); }

function tep_db_input($string, $link = 'db_link') { global $$link;


  if (function_exists('mysql_real_escape_string')) {

    return mysql_real_escape_string($string, $$link);

  } elseif (function_exists('mysql_escape_string')) {

    return mysql_escape_string($string);

  }

return addslashes($string); }

5/ Agregar Productos inexistentes a la cesta

Es posible agregar un producto inexistente a la cesta que puede impedir que los clientes lo borren de sus productos en la cesta.

Solución:

Las siguiente funciones deben ser reemplazadas en catalog/includes/functions/general.php.

Lineas 912-921, de:

function tep_get_uprid($prid, $params) { $uprid = $prid; if ( (is_array($params)) && (!strstr($prid, '{')) ) { while (list($option, $value) = each($params)) { $uprid = $uprid . '{' . $option . '}' . $value; } }

return $uprid; }

function tep_get_uprid($prid, $params) { if (is_numeric($prid)) { $uprid = $prid;


    if (is_array($params) && (sizeof($params) > 0)) {

      $attributes_check = true;

      $attributes_ids = '';
      reset($params);

      while (list($option, $value) = each($params)) {

        if (is_numeric($option) && is_numeric($value)) {

          $attributes_ids .= '{' . (int)$option . '}' . (int)$value;

        } else {

          $attributes_check = false;

          break;

        }

      }
      if ($attributes_check == true) {

        $uprid .= $attributes_ids;

      }

    }

  } else {

    $uprid = tep_get_prid($prid);
    if (is_numeric($uprid)) {

      if (strpos($prid, '{') !== false) {

        $attributes_check = true;

        $attributes_ids = '';
// strpos()+1 to remove up to and including the first { which would create an empty array element in explode()

        $attributes = explode('{', substr($prid, strpos($prid, '{')+1));
        for ($i=0, $n=sizeof($attributes); $i<$n; $i++) {

          $pair = explode('}', $attributes[$i]);
          if (is_numeric($pair[0]) && is_numeric($pair[1])) {

            $attributes_ids .= '{' . (int)$pair[0] . '}' . (int)$pair[1];

          } else {

            $attributes_check = false;

            break;

          }

        }
        if ($attributes_check == true) {

          $uprid .= $attributes_ids;

        }

      }

    } else {

      return false;

    }

  }

return $uprid; }

Lineas 925-929, de:

function tep_get_prid($uprid) { $pieces = explode('{', $uprid);

return $pieces[0]; }

function tep_get_prid($uprid) { $pieces = explode('{', $uprid);

if (is_numeric($pieces[0])) { return $pieces[0]; } else { return false; } }

Las siguientes funciones deben ser reemplazadas en catalog/includes/classes/shopping_cart.php.

Lineas 78-108, de:

function add_cart($products_id, $qty = '1', $attributes = '', $notify = true) { global $new_products_id_in_cart, $customer_id;


  $products_id = tep_get_uprid($products_id, $attributes);

  if ($notify == true) {

    $new_products_id_in_cart = $products_id;

    tep_session_register('new_products_id_in_cart');

  }
  if ($this->in_cart($products_id)) {

    $this->update_quantity($products_id, $qty, $attributes);

  } else {

    $this->contents[] = array($products_id);

    $this->contents[$products_id] = array('qty' => $qty);

// insert into database

    if (tep_session_is_registered('customer_id')) tep_db_query("insert into " . TABLE_CUSTOMERS_BASKET . " (customers_id, products_id, customers_basket_quantity, customers_basket_date_added) values ('" . (int)$customer_id . "', '" . tep_db_input($products_id) . "', '" . $qty . "', '" . date('Ymd') . "')");
    if (is_array($attributes)) {

      reset($attributes);

      while (list($option, $value) = each($attributes)) {

        $this->contents[$products_id]['attributes'][$option] = $value;

// insert into database

        if (tep_session_is_registered('customer_id')) tep_db_query("insert into " . TABLE_CUSTOMERS_BASKET_ATTRIBUTES . " (customers_id, products_id, products_options_id, products_options_value_id) values ('" . (int)$customer_id . "', '" . tep_db_input($products_id) . "', '" . (int)$option . "', '" . (int)$value . "')");

      }

    }

  }

  $this->cleanup();

// assign a temporary unique ID to the order contents to prevent hack attempts during the checkout procedure $this->cartID = $this->generate_cart_id(); }

function add_cart($products_id, $qty = '1', $attributes = '', $notify = true) { global $new_products_id_in_cart, $customer_id;


  $products_id_string = tep_get_uprid($products_id, $attributes);

  $products_id = tep_get_prid($products_id_string);
  if (is_numeric($products_id) && is_numeric($qty)) {

    $check_product_query = tep_db_query("select products_status from " . TABLE_PRODUCTS . " where products_id = '" . (int)$products_id . "'");

    $check_product = tep_db_fetch_array($check_product_query);
    if (($check_product !== false) && ($check_product['products_status'] == '1')) {

      if ($notify == true) {

        $new_products_id_in_cart = $products_id;

        tep_session_register('new_products_id_in_cart');

      }
      if ($this->in_cart($products_id_string)) {

        $this->update_quantity($products_id_string, $qty, $attributes);

      } else {

        $this->contents[$products_id_string] = array('qty' => $qty);

// insert into database

        if (tep_session_is_registered('customer_id')) tep_db_query("insert into " . TABLE_CUSTOMERS_BASKET . " (customers_id, products_id, customers_basket_quantity, customers_basket_date_added) values ('" . (int)$customer_id . "', '" . tep_db_input($products_id_string) . "', '" . (int)$qty . "', '" . date('Ymd') . "')");
        if (is_array($attributes)) {

          reset($attributes);

          while (list($option, $value) = each($attributes)) {

            $this->contents[$products_id_string]['attributes'][$option] = $value;

// insert into database

            if (tep_session_is_registered('customer_id')) tep_db_query("insert into " . TABLE_CUSTOMERS_BASKET_ATTRIBUTES . " (customers_id, products_id, products_options_id, products_options_value_id) values ('" . (int)$customer_id . "', '" . tep_db_input($products_id_string) . "', '" . (int)$option . "', '" . (int)$value . "')");

          }

        }

      }
      $this->cleanup();

// assign a temporary unique ID to the order contents to prevent hack attempts during the checkout procedure $this->cartID = $this->generate_cart_id(); } } }

Lineas 110-127, de:

function update_quantity($products_id, $quantity = '', $attributes = '') { global $customer_id;


  if (empty($quantity)) return true; // nothing needs to be updated if theres no quantity, so we return true..
  $this->contents[$products_id] = array('qty' => $quantity);

// update database

  if (tep_session_is_registered('customer_id')) tep_db_query("update " . TABLE_CUSTOMERS_BASKET . " set customers_basket_quantity = '" . $quantity . "' where customers_id = '" . (int)$customer_id . "' and products_id = '" . tep_db_input($products_id) . "'");

if (is_array($attributes)) { reset($attributes); while (list($option, $value) = each($attributes)) { $this->contents[$products_id]['attributes'][$option] = $value; // update database if (tep_session_is_registered('customer_id')) tep_db_query("update " . TABLE_CUSTOMERS_BASKET_ATTRIBUTES . " set products_options_value_id = '" . (int)$value . "' where customers_id = '" . (int)$customer_id . "' and products_id = '" . tep_db_input($products_id) . "' and products_options_id = '" . (int)$option . "'"); } } }

function update_quantity($products_id, $quantity = '', $attributes = '') { global $customer_id;


  $products_id_string = tep_get_uprid($products_id, $attributes);

  $products_id = tep_get_prid($products_id_string);
  if (is_numeric($products_id) && isset($this->contents[$products_id_string]) && is_numeric($quantity)) {

    $this->contents[$products_id_string] = array('qty' => $quantity);

// update database

    if (tep_session_is_registered('customer_id')) tep_db_query("update " . TABLE_CUSTOMERS_BASKET . " set customers_basket_quantity = '" . (int)$quantity . "' where customers_id = '" . (int)$customer_id . "' and products_id = '" . tep_db_input($products_id_string) . "'");

if (is_array($attributes)) { reset($attributes); while (list($option, $value) = each($attributes)) { $this->contents[$products_id_string]['attributes'][$option] = $value; // update database if (tep_session_is_registered('customer_id')) tep_db_query("update " . TABLE_CUSTOMERS_BASKET_ATTRIBUTES . " set products_options_value_id = '" . (int)$value . "' where customers_id = '" . (int)$customer_id . "' and products_id = '" . tep_db_input($products_id_string) . "' and products_options_id = '" . (int)$option . "'"); } } } }

6/ El Tema de Session ID XSS

El tema de cross site scripting existente con la mal formada session IDs usado en la funcion tep_href_link().

Solución:

Linea 66 ein catalog/includes/functions/html_output.php debe ser cambiada de:

$link .= $separator . $_sid;

$link .= $separator . tep_output_string($_sid);

7/ Validar Session ID

Validar session ID y redireccionar a la portada cuando la una session ID invalida es llamada.

Solución:

La siguiente función debe ser reemplazada en catalog/includes/functions/sessions.php.

Lineas 66-68, de:

function tep_session_start() { return session_start(); }

function tep_session_start() { global $HTTP_GET_VARS, $HTTP_POST_VARS, $HTTP_COOKIE_VARS;


  $sane_session_id = true;
  if (isset($HTTP_GET_VARS[tep_session_name()])) {

    if (preg_match('/^[a-zA-Z0-9]+$/', $HTTP_GET_VARS[tep_session_name()]) == false) {

      unset($HTTP_GET_VARS[tep_session_name()]);
      $sane_session_id = false;

    }

  } elseif (isset($HTTP_POST_VARS[tep_session_name()])) {

    if (preg_match('/^[a-zA-Z0-9]+$/', $HTTP_POST_VARS[tep_session_name()]) == false) {

      unset($HTTP_POST_VARS[tep_session_name()]);
      $sane_session_id = false;

    }

  } elseif (isset($HTTP_COOKIE_VARS[tep_session_name()])) {

    if (preg_match('/^[a-zA-Z0-9]+$/', $HTTP_COOKIE_VARS[tep_session_name()]) == false) {

      $session_data = session_get_cookie_params();
      setcookie(tep_session_name(), '', time()-42000, $session_data['path'], $session_data['domain']);
      $sane_session_id = false;

    }

  }
  if ($sane_session_id == false) {

    tep_redirect(tep_href_link(FILENAME_DEFAULT, '', 'NONSSL', false));

  }

return session_start(); }

8/ Problema en la Herramienta de Ficheros

Errores de Parsing generan cuando salvas ficheros editados con la herramienta ficheros:

Linea 148 en catalog/admin/file_manager.php cambiar

$file_contents = htmlspecialchars(implode('', $file_array));

$file_contents = addslashes(implode('', $file_array));

Nota: Esta actualización requiere la actualización de El tema de XSS en el formulario Contactenos para funcionar debidamente.

9/ Inyección en la Cabecera HTTP

Usando datos malintencionados pueden hacer inyecciones de cabecera a los HTTP requests.

Solución:

La siguiente funcion debe ser reemplazada en catalog/includes/functions/general.php.

Lineas 22-32, de:

function tep_redirect($url) { if ( (ENABLE_SSL == true) && (getenv('HTTPS') == 'on') ) { // We are loading an SSL page if (substr($url, 0, strlen(HTTP_SERVER)) == HTTP_SERVER) { // NONSSL url $url = HTTPS_SERVER . substr($url, strlen(HTTP_SERVER)); // Change it to SSL } }


  header('Location: ' . $url);

tep_exit(); }

function tep_redirect($url) { if ( (strstr($url, "\n") != false) || (strstr($url, "\r") != false) ) { tep_redirect(tep_href_link(FILENAME_DEFAULT, '', 'NONSSL', false)); }


  if ( (ENABLE_SSL == true) && (getenv('HTTPS') == 'on') ) { // We are loading an SSL page

    if (substr($url, 0, strlen(HTTP_SERVER)) == HTTP_SERVER) { // NONSSL url

      $url = HTTPS_SERVER . substr($url, strlen(HTTP_SERVER)); // Change it to SSL

    }

  }
  header('Location: ' . $url);

tep_exit(); }

La siguiente funcion debe ser reemplazada en catalog/admin/includes/functions/general.php.

Lineas 15-26, de:

function tep_redirect($url) { global $logger;


  header('Location: ' . $url);
  if (STORE_PAGE_PARSE_TIME == 'true') {

    if (!is_object($logger)) $logger = new logger;

    $logger->timer_stop();

  }

exit; }

function tep_redirect($url) { global $logger;


  if ( (strstr($url, "\n") != false) || (strstr($url, "\r") != false) ) {

    tep_redirect(tep_href_link(FILENAME_DEFAULT, '', 'NONSSL', false));

  }
  header('Location: ' . $url);
  if (STORE_PAGE_PARSE_TIME == 'true') {

    if (!is_object($logger)) $logger = new logger;

    $logger->timer_stop();

  }

exit; }

10/ Inyeccion en la Cabecera de E-Mail Header

Usando datos malintencionados pueden hacer inyecciones de cabecera en los correos que envia el administrador de la tienda.

Solución:

La siguiente funcion debe ser reemplazada en catalog/includes/classes/email.php and catalog/admin/includes/classes/email.php.

Lineas 473-504, de:

function send($to_name, $to_addr, $from_name, $from_addr, $subject = '', $headers = '') { $to = (($to_name != '') ? '"' . $to_name . '" <' . $to_addr . '>' : $to_addr); $from = (($from_name != '') ? '"' . $from_name . '" <' . $from_addr . '>' : $from_addr);


  if (is_string($headers)) {

    $headers = explode($this->lf, trim($headers));

  }
  for ($i=0; $i
    if (is_array($headers[$i])) {

      for ($j=0; $j
        if ($headers[$i][$j] != '') {

          $xtra_headers[] = $headers[$i][$j];

        }

      }

    }
    if ($headers[$i] != '') {

      $xtra_headers[] = $headers[$i];

    }

  }
  if (!isset($xtra_headers)) {

    $xtra_headers = array();

  }

if (EMAIL_TRANSPORT == 'smtp') { return mail($to_addr, $subject, $this->output, 'From: ' . $from . $this->lf . 'To: ' . $to . $this->lf . implode($this->lf, $this->headers) . $this->lf . implode($this->lf, $xtra_headers)); } else { return mail($to, $subject, $this->output, 'From: '.$from.$this->lf.implode($this->lf, $this->headers).$this->lf.implode($this->lf, $xtra_headers)); } }

function send($to_name, $to_addr, $from_name, $from_addr, $subject = '', $headers = '') { if ((strstr($to_name, "\n") != false) || (strstr($to_name, "\r") != false)) { return false; }


  if ((strstr($to_addr, "\n") != false) || (strstr($to_addr, "\r") != false)) {

    return false;

  }
  if ((strstr($subject, "\n") != false) || (strstr($subject, "\r") != false)) {

    return false;

  }
  if ((strstr($from_name, "\n") != false) || (strstr($from_name, "\r") != false)) {

    return false;

  }
  if ((strstr($from_addr, "\n") != false) || (strstr($from_addr, "\r") != false)) {

    return false;

  }
  $to = (($to_name != '') ? '"' . $to_name . '" <' . $to_addr . '>' : $to_addr);

  $from = (($from_name != '') ? '"' . $from_name . '" <' . $from_addr . '>' : $from_addr);
  if (is_string($headers)) {

    $headers = explode($this->lf, trim($headers));

  }
  for ($i=0; $i
    if (is_array($headers[$i])) {

      for ($j=0; $j
        if ($headers[$i][$j] != '') {

          $xtra_headers[] = $headers[$i][$j];

        }

      }

    }
    if ($headers[$i] != '') {

      $xtra_headers[] = $headers[$i];

    }

  }
  if (!isset($xtra_headers)) {

    $xtra_headers = array();

  }

11/El tema de XSS en el formulario Contactenos

Usando datos malintencionados es posible inyecctar HTML en la pagina.

Solución:

Lineas 221-225 in catalog/includes/functions/html_output.php cambiar:

if ( (isset($GLOBALS[$name])) && ($reinsert_value == true) ) { $field .= stripslashes($GLOBALS[$name]); } elseif (tep_not_null($text)) { $field .= $text; }

if ( (isset($GLOBALS[$name])) && ($reinsert_value == true) ) { $field .= tep_output_string_protected(stripslashes($GLOBALS[$name])); } elseif (tep_not_null($text)) { $field .= tep_output_string_protected($text); }

Lineas 244-248 in catalog/admin/includes/functions/html_output.php cambiar:

if ( (isset($GLOBALS[$name])) && ($reinsert_value == true) ) { $field .= stripslashes($GLOBALS[$name]); } elseif (tep_not_null($text)) { $field .= $text; }

12/ Redireccionamiento Abierto

No existe ningún chequeo en la página de redirección, y permite fuentes externas usar la página como un redireccionamiento abierto.

Solución:

Lineas 27-29 in catalog/redirect.php cambiar:

if (isset($HTTP_GET_VARS['goto']) && tep_not_null($HTTP_GET_VARS['goto'])) { tep_redirect('http://' . $HTTP_GET_VARS['goto']); }

if (isset($HTTP_GET_VARS['goto']) && tep_not_null($HTTP_GET_VARS['goto'])) { $check_query = tep_db_query("select products_url from " . TABLE_PRODUCTS_DESCRIPTION . " where products_url = '" . tep_db_input($HTTP_GET_VARS['goto']) . "' limit 1"); if (tep_db_num_rows($check_query)) { tep_redirect('http://' . $HTTP_GET_VARS['goto']); } }

13/ Barras Extras en Nuevos Productos

Cuando creas y producto, y previsualizas, al volver generaba unos errores con las barras

Solución:

Las siguientes lineas deben ser cambiadas en catalog/admin/categories.php:

Linea 504, de:

products_id, $languages[$i]['id']))); ?>

Linea 538, de:

products_id, $languages[$i]['id']))); ?>

Linea 574, de:

products_id, $languages[$i]['id']))); ?>

14/ Filtrando el Estado de Pedido

Después de cambiar el filtro de estado de pedidos en Administración -> Clientes -> Pedidos, seleccionando "Todos los Pedidos" mostrara una lista vacia de pedidos.

Solución:

Linea 357 in catalog/admin/orders.php cambiar:
} elseif (isset($HTTP_GET_VARS['status'])) {

} elseif (isset($HTTP_GET_VARS['status']) && is_numeric($HTTP_GET_VARS['status']) && ($HTTP_GET_VARS['status'] > 0)) {

15/ Compatibilidad con MySQL 5.0

Hay ciertos queries de MySQL que no son compatibles y por lo tanto, no se pueden ejecutar en MySQL5.

Solución:

Linea 213-223 en catalog/advanced_search_result.php cambiar:

$from_str = "from " . TABLE_PRODUCTS . " p left join " . TABLE_MANUFACTURERS . " m using(manufacturers_id) left join " . TABLE_SPECIALS . " s on p.products_id = s.products_id, " . TABLE_PRODUCTS_DESCRIPTION . " pd, " . TABLE_CATEGORIES . " c, " . TABLE_PRODUCTS_TO_CATEGORIES . " p2c";


if ( (DISPLAY_PRICE_WITH_TAX == 'true') && (tep_not_null($pfrom) || tep_not_null($pto)) ) {

  if (!tep_session_is_registered('customer_country_id')) {

    $customer_country_id = STORE_COUNTRY;

    $customer_zone_id = STORE_ZONE;

  }

  $from_str .= " left join " . TABLE_TAX_RATES . " tr on p.products_tax_class_id = tr.tax_class_id left join " . TABLE_ZONES_TO_GEO_ZONES . " gz on tr.tax_zone_id = gz.geo_zone_id and (gz.zone_country_id is null or gz.zone_country_id = '0' or gz.zone_country_id = '" . (int)$customer_country_id . "') and (gz.zone_id is null or gz.zone_id = '0' or gz.zone_id = '" . (int)$customer_zone_id . "')";

}

$where_str = " where p.products_status = '1' and p.products_id = pd.products_id and pd.language_id = '" . (int)$languages_id . "' and p.products_id = p2c.products_id and p2c.categories_id = c.categories_id ";

$from_str = "from " . TABLE_PRODUCTS . " p left join " . TABLE_MANUFACTURERS . " m using(manufacturers_id) left join " . TABLE_SPECIALS . " s on p.products_id = s.products_id";


if ( (DISPLAY_PRICE_WITH_TAX == 'true') && (tep_not_null($pfrom) || tep_not_null($pto)) ) {

  if (!tep_session_is_registered('customer_country_id')) {

    $customer_country_id = STORE_COUNTRY;

    $customer_zone_id = STORE_ZONE;

  }

  $from_str .= " left join " . TABLE_TAX_RATES . " tr on p.products_tax_class_id = tr.tax_class_id left join " . TABLE_ZONES_TO_GEO_ZONES . " gz on tr.tax_zone_id = gz.geo_zone_id and (gz.zone_country_id is null or gz.zone_country_id = '0' or gz.zone_country_id = '" . (int)$customer_country_id . "') and (gz.zone_id is null or gz.zone_id = '0' or gz.zone_id = '" . (int)$customer_zone_id . "')";

}
$from_str .= ", " . TABLE_PRODUCTS_DESCRIPTION . " pd, " . TABLE_CATEGORIES . " c, " . TABLE_PRODUCTS_TO_CATEGORIES . " p2c";

Lsa siguientes lineas deben ser cambiadas en catalog/index.php:

Linea 175, de:

$listing_sql = "select " . $select_column_list . " p.products_id, p.manufacturers_id, p.products_price, p.products_tax_class_id, IF(s.status, s.specials_new_products_price, NULL) as specials_new_products_price, IF(s.status, s.specials_new_products_price, p.products_price) as final_price from " . TABLE_PRODUCTS . " p, " . TABLE_PRODUCTS_DESCRIPTION . " pd, " . TABLE_MANUFACTURERS . " m, " . TABLE_PRODUCTS_TO_CATEGORIES . " p2c left join " . TABLE_SPECIALS . " s on p.products_id = s.products_id where p.products_status = '1' and p.manufacturers_id = m.manufacturers_id and m.manufacturers_id = '" . (int)$HTTP_GET_VARS['manufacturers_id'] . "' and p.products_id = p2c.products_id and pd.products_id = p2c.products_id and pd.language_id = '" . (int)$languages_id . "' and p2c.categories_id = '" . (int)$HTTP_GET_VARS['filter_id'] . "'";

$listing_sql = "select " . $select_column_list . " p.products_id, p.manufacturers_id, p.products_price, p.products_tax_class_id, IF(s.status, s.specials_new_products_price, NULL) as specials_new_products_price, IF(s.status, s.specials_new_products_price, p.products_price) as final_price from " . TABLE_PRODUCTS . " p left join " . TABLE_SPECIALS . " s on p.products_id = s.products_id, " . TABLE_PRODUCTS_DESCRIPTION . " pd, " . TABLE_MANUFACTURERS . " m, " . TABLE_PRODUCTS_TO_CATEGORIES . " p2c where p.products_status = '1' and p.manufacturers_id = m.manufacturers_id and m.manufacturers_id = '" . (int)$HTTP_GET_VARS['manufacturers_id'] . "' and p.products_id = p2c.products_id and pd.products_id = p2c.products_id and pd.language_id = '" . (int)$languages_id . "' and p2c.categories_id = '" . (int)$HTTP_GET_VARS['filter_id'] . "'";

Linea 178, de:

$listing_sql = "select " . $select_column_list . " p.products_id, p.manufacturers_id, p.products_price, p.products_tax_class_id, IF(s.status, s.specials_new_products_price, NULL) as specials_new_products_price, IF(s.status, s.specials_new_products_price, p.products_price) as final_price from " . TABLE_PRODUCTS . " p, " . TABLE_PRODUCTS_DESCRIPTION . " pd, " . TABLE_MANUFACTURERS . " m left join " . TABLE_SPECIALS . " s on p.products_id = s.products_id where p.products_status = '1' and pd.products_id = p.products_id and pd.language_id = '" . (int)$languages_id . "' and p.manufacturers_id = m.manufacturers_id and m.manufacturers_id = '" . (int)$HTTP_GET_VARS['manufacturers_id'] . "'";

$listing_sql = "select " . $select_column_list . " p.products_id, p.manufacturers_id, p.products_price, p.products_tax_class_id, IF(s.status, s.specials_new_products_price, NULL) as specials_new_products_price, IF(s.status, s.specials_new_products_price, p.products_price) as final_price from " . TABLE_PRODUCTS . " p left join " . TABLE_SPECIALS . " s on p.products_id = s.products_id, " . TABLE_PRODUCTS_DESCRIPTION . " pd, " . TABLE_MANUFACTURERS . " m where p.products_status = '1' and pd.products_id = p.products_id and pd.language_id = '" . (int)$languages_id . "' and p.manufacturers_id = m.manufacturers_id and m.manufacturers_id = '" . (int)$HTTP_GET_VARS['manufacturers_id'] . "'";

Linea 184, de:

$listing_sql = "select " . $select_column_list . " p.products_id, p.manufacturers_id, p.products_price, p.products_tax_class_id, IF(s.status, s.specials_new_products_price, NULL) as specials_new_products_price, IF(s.status, s.specials_new_products_price, p.products_price) as final_price from " . TABLE_PRODUCTS . " p, " . TABLE_PRODUCTS_DESCRIPTION . " pd, " . TABLE_MANUFACTURERS . " m, " . TABLE_PRODUCTS_TO_CATEGORIES . " p2c left join " . TABLE_SPECIALS . " s on p.products_id = s.products_id where p.products_status = '1' and p.manufacturers_id = m.manufacturers_id and m.manufacturers_id = '" . (int)$HTTP_GET_VARS['filter_id'] . "' and p.products_id = p2c.products_id and pd.products_id = p2c.products_id and pd.language_id = '" . (int)$languages_id . "' and p2c.categories_id = '" . (int)$current_category_id . "'";

$listing_sql = "select " . $select_column_list . " p.products_id, p.manufacturers_id, p.products_price, p.products_tax_class_id, IF(s.status, s.specials_new_products_price, NULL) as specials_new_products_price, IF(s.status, s.specials_new_products_price, p.products_price) as final_price from " . TABLE_PRODUCTS . " p left join " . TABLE_SPECIALS . " s on p.products_id = s.products_id, " . TABLE_PRODUCTS_DESCRIPTION . " pd, " . TABLE_MANUFACTURERS . " m, " . TABLE_PRODUCTS_TO_CATEGORIES . " p2c where p.products_status = '1' and p.manufacturers_id = m.manufacturers_id and m.manufacturers_id = '" . (int)$HTTP_GET_VARS['filter_id'] . "' and p.products_id = p2c.products_id and pd.products_id = p2c.products_id and pd.language_id = '" . (int)$languages_id . "' and p2c.categories_id = '" . (int)$current_category_id . "'";

Linea 187, de:
$listing_sql = "select " . $select_column_list . " p.products_id, p.manufacturers_id, p.products_price, p.products_tax_class_id, IF(s.status, s.specials_new_products_price, NULL) as specials_new_products_price, IF(s.status, s.specials_new_products_price, p.products_price) as final_price from " . TABLE_PRODUCTS_DESCRIPTION . " pd, " . TABLE_PRODUCTS . " p left join " . TABLE_MANUFACTURERS . " m on p.manufacturers_id = m.manufacturers_id, " . TABLE_PRODUCTS_TO_CATEGORIES . " p2c left join " . TABLE_SPECIALS . " s on p.products_id = s.products_id where p.products_status = '1' and p.products_id = p2c.products_id and pd.products_id = p2c.products_id and pd.language_id = '" . (int)$languages_id . "' and p2c.categories_id = '" . (int)$current_category_id . "'";

$listing_sql = "select " . $select_column_list . " p.products_id, p.manufacturers_id, p.products_price, p.products_tax_class_id, IF(s.status, s.specials_new_products_price, NULL) as specials_new_products_price, IF(s.status, s.specials_new_products_price, p.products_price) as final_price from " . TABLE_PRODUCTS_DESCRIPTION . " pd, " . TABLE_PRODUCTS . " p left join " . TABLE_MANUFACTURERS . " m on p.manufacturers_id = m.manufacturers_id left join " . TABLE_SPECIALS . " s on p.products_id = s.products_id, " . TABLE_PRODUCTS_TO_CATEGORIES . " p2c where p.products_status = '1' and p.products_id = p2c.products_id and pd.products_id = p2c.products_id and pd.language_id = '" . (int)$languages_id . "' and p2c.categories_id = '" . (int)$current_category_id . "'";

Linea 292 in catalog/admin/categories.php cambiar:

tep_db_query("insert into " . TABLE_PRODUCTS . " (products_quantity, products_model,products_image, products_price, products_date_added, products_date_available, products_weight, products_status, products_tax_class_id, manufacturers_id) values ('" . tep_db_input($product['products_quantity']) . "', '" . tep_db_input($product['products_model']) . "', '" . tep_db_input($product['products_image']) . "', '" . tep_db_input($product['products_price']) . "', now(), '" . tep_db_input($product['products_date_available']) . "', '" . tep_db_input($product['products_weight']) . "', '0', '" . (int)$product['products_tax_class_id'] . "', '" . (int)$product['manufacturers_id'] . "')");
a:

tep_db_query("insert into " . TABLE_PRODUCTS . " (products_quantity, products_model,products_image, products_price, products_date_added, products_date_available, products_weight, products_status, products_tax_class_id, manufacturers_id) values ('" . tep_db_input($product['products_quantity']) . "', '" . tep_db_input($product['products_model']) . "', '" . tep_db_input($product['products_image']) . "', '" . tep_db_input($product['products_price']) . "', now(), " . (empty($product['products_date_available']) ? "null" : "'" . tep_db_input($product['products_date_available']) . "'") . ", '" . tep_db_input($product['products_weight']) . "', '0', '" . (int)$product['products_tax_class_id'] . "', '" . (int)$product['manufacturers_id'] . "')");

Los siguientes comandos MySQL deben ser ejecutados:

ALTER TABLE whos_online MODIFY COLUMN last_page_url VARCHAR(255) NOT NULL;


ALTER TABLE customers MODIFY COLUMN customers_default_address_id INTEGER;

ALTER TABLE customers_basket MODIFY COLUMN final_price DECIMAL(15,4);

Vía SmartOsc

Nueva Revisión OsCommerce

admin — Mon, 28 Nov 2005 10:41:51 +0000

Ya está disponible una nueva revisión de osCommerce desde el Download, con la nueva documentación, en inglés claro

Han corregido algunos bugs, pero lo mejor está en las versiones venideras MS3 y MS4… puedes echarle un vistazo desde aquí al trabajo que están desarrollando. Llevarán contribuciones como Comprar sin crear cuenta, Gift´s Voucher and Coupons.. etc.. pero mejor que lo veas

- Compatibilidad con PHP 5

- Compatibilidad con MySQL 5

- Arreglos en varios scripts del catálogo

- Arreglos en el header HTTP/E-Mail

- Modificaciones en la base de datos

- Arreglos en la copia de seguridad

- Arreglos en la página de resultados y clientes conectados (Split Page Result class)

Distintas versiones sobre OsCommerce

admin — Tue, 08 Nov 2005 11:12:58 +0000

Existen varias versiones sobre el OsCommerce original, vamos a tratar 3 de las más interesantes.

– CreLoaded :
Es una versión de las más descargadas, van por su versión 6.15 y viene con más de 40 contribuciones instaladas y un sistema propio de templates, que lo hace más fácil de instalar, pero a la vez es más complicado para instalar nuevas contribuciones o addons, al tener un distinto sistema de archivos.
Lo más destacable de esta versión es el módulo de Cupones descuento, las Faqs, las news, y el poder crear páginas adicionales sin problema ninguno.
Problemas con el español, hay que repasar bastante código.
Listado de contribuciones de Creloaded
lajugueteria.com funciona sobre CreLoaded v6.15

– Zencart es otra versión con sus propios módulos y algo distinta de manejar también.
Lo más destacable su sistema de aceptar condiciones de compra, añadir múltiples imágenes como Creloaded y OsCdox de la que ahora hablamos. Zencart quizás es de la menos usada de las 3, aunque sencilla de usar, algo complicada de implementar, a mi gusto claro. Dice que es muy sencillo cambiar el aspecto con las .css e imágenes solamente, pero mmm
Algunas de las contribuciones de Zencart

- Y por último la OscDox , con su versión 1.7 MAX, es otra modificación de oscommerce con importantes contribuciones, y con algunos templates ya instalados, muy completo. Algo de problemas con el spanish también…

Aquí todo para entenderlo, pero en inglés, lo mejor que le echéis otro vistazo…

Existen otras, pero estas son las más descargadas y usadas.
En keleke preferimos no usarlas, ya que siempre hemos preferido instalar el básico y añadir nuestras contribuciones, las que necesitemos realmente.
Estas distintas versiones tiene sus propias contribuciones, foros, y son algo más tediosas de tratar, aún así las hemos utilizado por distintos motivos o contribuciones ya instaladas, repito que es dependiendo de las necesidades de cada tienda

Como instalar OsCommerce

admin — Fri, 30 Sep 2005 17:29:06 +0000

Instalar OsCommerce en un servidor o en local es muy sencillo gracias a su autoinstalable.

Vamos a hacer la instalación de una nueva tienda en un servidor , en la carpeta /tienda de cualquier dominio, es decir www.tudominio.com/tienda para acceder a la tienda, con lo que quedará www.tudominio.com/tienda/admin para el apartado de Administración.

Vamos allá, lo primero que tenemos que hacer es descargarnos el paquete desde http://www.oscommerce.com/solutions/downloads en el formato que necesitéis, .zip o .tar/gz .

Descomprimimos y subimos al servidor mediante FTP , modo ASCII y no binario, las carpetas catalog (renombraremos por /tienda) y admin. Linux, MySql y PHP recuerda..

Una vez subidos los archivos debemos dar permisos de escritura y/o lectura a otros…

Permisos totales (777) a los siguientes archivos:
/tienda/includes/configure.php
y /tienda/admin/includes/configure.php y la carpeta de las imágenes
/tienda/images en mod 777 también.

Permisos 755 a las siguientes carpetas:
/admin/includes
/tienda/includes

Una vez subidos todos los archivos y asegurados de haber creado una base de datos y un usuario en nuestro dominio, estamos preparados para ejecutar el script “install”. Accediendo a www.tudominio.com/tienda/ empezaremos con la instalación, OsCommerce autodetectará si necesitas la instalación si no está realizada y te redireccionará a la carpeta /install.

La primera pantaala que veremos , damos a install

Después tenemos que ticar las 2 casillas, importar catálogo y configuración automática y continue

Después tenemos que rellenar la siguiente información.
Database server: localhost .Aunque puedes poner una IP o dirección web, normalmente localhost funciona bien.
Username: el nombre de usuario que hemos creado para la base de datos (usuario en nuestro caso)
Password: la clave elegida para la base de datos
Database: El nombre de la base de datos que hemos creado , en nuestro caso tubase
Después dejamos en blanco la casilla de Persistent connections y le decimos que nos guarde las sesiones en la base de datos, como en el gráfico que viene ahora, y Continue…

A continuación te pedirá que importes el catálogo que viene por defecto… continue

Esta pantalla nos informa de que ha sido importada la base de datos correctamente… continue

Ahora revisamos toda la información del servidor, para las rutas principales.. continue

Segunda parte del resumen de la instalación.. continue

Y si todo ha ido bien, llegaremos a la pantalla para ir al catálogo o a la administración de nuestra nueva tienda…

Una vez instalada debemos borrar la carpeta /install del servidor y guardar con contraseña y usuario la carpeta /admin

Y volveremos a dejar los archivos configure.php con los permisos 644.
/admin/includes/configure.php y
/tienda/includes/configure.php

Por último crearemos una carpeta backups dentro de admin y le daremos permisos 777 /admin/backups

Y hemos terminado nuestra instalación…

Obligaciones Empresariales (España)

admin — Wed, 28 Sep 2005 12:55:35 +0000

Implicaciones y Responsabilidades de la Protección de Datos de Carácter Personal. Tener una tienda OsCommerce te implica.

La Protección de Datos de Carácter Personal es una materia que preocupa a todas las empresas, principalmente por las fuertes sanciones económicas que impone la Agencia Española de Protección de Datos en caso de incumplimiento.

El deber de las empresas en esta materia no sólo debe consistir en la adaptación a la normativa vigente, sino también en la aplicación práctica de los principios de protección de datos en el seno de la empresa, dentro de cada uno de los departamentos, involucrando a todo el personal… Las consecuencias del incumplimiento de la normativa no se quedan sólo en las sanciones de la Agencia, sino que van más allá y afectan a todos.

El cumplimiento de lo establecido en la LOPD (LO 15/1999 de Protección de Datos de Carácter Personal) y su normativa de desarrollo (RD 994/1999, Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan datos de carácter personal) pasa no sólo por la legalización, legitimación y protección de los ficheros de datos de carácter personal, sino también por su aplicación práctica en el seno de las organizaciones, es decir, la incorporación a la dinámica de la empresa de los principios rectores de la Protección de Datos de Carácter Personal.

La incorporación a la dinámica de la empresa de los principios rectores de la Protección de Datos de Carácter Personal, adquiere una gran importancia desde el momento en que las consecuencias de su incumplimiento conllevan grandes responsabilidades tanto para la Organización como para el personal que trata o accede a los datos de carácter personal, es decir, las sanciones ya no sólo son administrativas y dirigidas a la Organización en sí, sino que además de ellas se pueden derivar responsabilidades civiles, penales y laborales.

a) Administrativas: Sanciones contempladas en la LOPD y que son impuestas por la Agencia Española de Protección de Datos en el ejercicio de sus funciones, ya sea por inspección de oficio o abierta a instancia de parte. Estas sanciones son de carácter económico y su cuantía está entre 601,01 y 601.012,10 Euros.

b) Civiles: Artículos del Código Civil relativos a la Responsabilidad Contractual y Extracontractual (arts. 1902 y 1903 CC). Así cuando determinado servicio es contratado a un tercero ajeno a la propia organización e implique un acceso a los ficheros de datos de carácter personal, deberá estar precedido del correspondiente contrato de acceso a datos en el que se limiten las facultades del tercero en cuanto al tratamiento de los datos de carácter personal, se especifiquen las medidas de seguridad que deberán ser implantadas o cumplidas por el tercero para la protección del fichero, y se determinen las responsabilidades derivadas del incumplimiento de la LOPD o de lo establecido en el contrato.

c) Penales: El Código Penal tipifica los delitos contra la intimidad y concretamente el descubrimiento y revelación de secretos en los artículos 197 y siguientes. En este sentido, ha sido condenado recientemente un funcionario de la Seguridad Social, a cinco años y tres meses de prisión, una multa de 330.556 Euros y la inhabilitación especial de 11 años para empleo o cargo público, por vender datos personales de cotizantes a una empresa privada.

d) Laborales: La fuga de datos, un tratamiento inadecuado de los ficheros de datos de carácter personal, un acceso no autorizado a los datos del fichero, una protección inadecuada de los ficheros, pueden venir derivadas de cualquier puesto laboral dentro del seno de la Organización. Cuando una cadena de fallos deriva en la imposición de una sanción a la Organización, es frecuente que además se deriven responsabilidades laborales.

En consecuencia, se hace absolutamente necesario el establecimiento de una serie de medidas adicionales para la correcta aplicación de la Ley de Protección de Datos en las empresas, tendentes principalmente a informar y formar al personal que trata los datos, independientemente de su cargo o función.

Como principales acciones adicionales encaminadas a informar y formar al personal sobre los principios del tratamiento de datos de carácter personal encontramos las siguientes:

1. Establecimiento de una Política de Tratamiento de Datos en la Organización. Esta Política de Tratamiento de Datos deberá entregarse a cada uno de los empleados que entre sus funciones esté el tratamiento de datos de carácter personal, quién deberá firmarla tras su conocimiento.

En esta Política se suele informar sobre el carácter y finalidad de la LOPD y su normativa de desarrollo, las obligaciones básicas impuestas, así como los diferentes principios, acciones y procedimientos a adoptar en la gestión diaria de la empresa.

Igualmente, se puede informar al empleado sobre otras medidas o políticas de seguridad de los sistemas de información implementados por la Organización, así como de las responsabilidades que se pueden derivar de su incumplimiento.

2. Formación en materia de Protección de Datos. El establecimiento de seminarios, conferencias o jornadas de formación en materia de protección de datos en el seno de las Organizaciones es otra de las medidas que se pueden adoptar. Como principales ventajas de la formación encontramos:

-Información y Formación para el empleado.

-Formación personalizada para cada empresa. Se analizaran los casos concretos de cada organización y su problemática particular.

-Mayor participación de los empleados. Podrán consultar y comentar las particularidades de cada puesto.

¿Qué es OsCommerce?

admin — Fri, 09 Sep 2005 12:42:56 +0000

En el 2000 nació osCommerce, una aplicación web de código abierto (OpenSource) que te permite montar una tienda virtual en cuestión de minutos para vender en Internet.
Consta de dos partes principalmente el front y el back-end, es decir, la parte que vemos todo el mundo, la tienda virtual en si, y la parte de administración, donde podrás mantener tu propia tienda virtual, actualizando productos, insertando nuevas ofertas, categorías, idiomas, monedas, consultar los pedidos, los clientes.. y sin coste ninguno por parte del vendedor y sin necesidad ninguna de saber programación.

Front o Página Principal

Back End o Administración de la Tienda

Uno de los beneficios de ser código abierto, es que está siendo diariamente actualizada por su comunidad, añadiendo contribuciones de todo tipo. Módulos de pago, de envío, contribuciones para el diseño, como templates, así como nuevas funcionalidades, noticias, lector de rss…

osCommerce es de las mejores soluciones de código abierto existentes para la creación de tiendas virtuales, además de ser gratuita y sencilla de administrar. Programada en lenguaje PHP trabaja sobre un servidor Apache y usa MySQL como servidor de base de datos.

Actualmente casi todas las empresas de Hosting ofrecen una solución con OsCommerce ya instalada, aunque es realmente fácil instalar en cuestión de 5 clicks con el “install” que lleva incorporado.

El único pero que le podemos poner es que hay pocas contribuciones en español, casi todas en el universal inglés, aunque tenemos un buen soporte en la web española http://oscommerce.qadram.com

OsCommerce
Contribuciones, Addons…