Magento 隐藏购物篮和价格注入

Question

我已经更改了 magento 代码 C:\xampp\htdocs\magento\app\design\frontend\mypackage\mytheme\template\catalog\product\list.phtml C:\xampp\htdocs\magento\app\design\frontend\mypackage\mytheme\template\catalog\product\price.phtml

仅在用户登录时显示价格，并在产品价格为 0.00 时隐藏购物篮按钮和价格 我的问题是我不希望用户使用注入方法来绕过这个所以我的问题是我的代码是否可以被 sql 注入攻击？

  <!-- To hide price if price is 0 if not display the details  -->
                <?php if($_product->price==0): ?>
     <?php  echo ''; ?>
    <?php else: ?>
     <?php echo $this->getPriceHtml($_product, true) ?>
    <?php endif; ?> 

                <div class="actions">
                 <!-- To hide the shopping basket  -->
     <?php if (Mage::getSingleton('customer/session')->isLoggedIn()): ?> 
                    <?php if($_product->isSaleable() && ($_product->price>0)): ?>
                        <button type="button" title="<?php echo $this->__('Add to Cart')  ?>" class="button btn-cart" onclick="setLocation('<?php echo $this->getAddToCartUrl($_product) ?>')"><span><span><?php echo $this->__('Add to Cart') ?></span></span></button>
                    <?php else: ?>
                        <p class="availability out-of-stock"><span><?php echo $this->__('Auf anfrage') ?></span></p>
                    <?php endif; ?>
     <!-- if they are not logged in then  -->               
<?php else: ?>
<p class="nurfuer"><span><?php echo 'only for registered users'?></span></p>
<p class="nurfuer"><span><?php echo 'please register'?></span></p>
 <?php endif; ?>

在我添加的 price.phtml 文件中

<?php if (Mage::getSingleton('customer/session')->isLoggedIn()) { ?> 
and at the end of the file
<?php } ?>

Answer 1

您的方法中没有 SQL，因此按道理该代码不适用于 SQL 注入。

回答基本问题；

未登录的用户是否仍可将产品添加到购物篮或 查看价格？

您没有采取任何措施阻止用户使用直接网址来实现特定目标。当您将产品添加到购物篮时，您会调用某个 url。用户仍然可以调用这样的 url 来向他们的购物篮添加一些东西。当人们想要查看他们的购物篮时，他们会调用一个 url，仍然可以调用它......

要真正确保，您还必须对控制器/操作进行“登录”检查。