includes\templates\VASE_TEMPLATE\templates\tpl_product_info_display.php
Tenhle modul je ale takové kuřátko nevyvinuté. S Facebookem, Twitterem a dalšími se dají dělat naprosto úžasné věci ve spojení se ZC!

určitě do produkčního adresáře.
Ten fragment s voláním http můžete zkusit implementovat i do administračního aplication_top.php, ale není to otestováno.

K dalším funkcím v odkazovaném postu - Pro admina platí jiné proměnné, není navíc veřejně dostupný. Pokud ale máte administraci standardně v adresáři "admin", mohou být na něj mířeny útoky, ten doporučuje oficiální podpora ZC přejmenovat (samozřejmostí je úprava adres v konfiguračním souboru admina). Více k bezpečnosti (+patch) viz Gardenovo http://www.zencart.cz/modules/newbb/viewtopic.php?topic_id=4742&forum=1&post_id=32430#forumpost32430
nebo oficiální http://www.zen-cart.com/forum/showthread.php?t=130161

domnívám se že tohle by mělo řešit viz http://www.zencart.cz/modules/newbb/viewtopic.php?post_id=33924#forumpost33924

část o application_top.php

je tam mj odchytávání požadavku GET s dalším "http" v URL

Můžete si dopsat i hledání ".txt" v url a posilat 404 nebo 406

Bezpečnější řešení by bylo přidat sloupec do tabulky uživatelů, kde by se každému vygeneroval nějaký hash, a ten připojit k odkazu. A samozřejmě úpravu login scriptu pro GET

v admin/rss.php ktery chcete mit za hlavni...

function genCentrum(){
global $db;

$vsechnyDB = array("db1","db2","db3"); //definujte vase databaze pod kteryma mate jednotlive subdomeny
$text= '<?xml version="1.0" encoding="' . CHARSET . '"?>';
$text.= "\n<SHOP>\n";

foreach (vsechnyDB as $aktualniDB){
// do tohoto uzavrete vse co je mezi $text.= "\n<SHOP>\n"; a $text.= "</SHOP>";
// vsude kde mate . TABLE_PRODUCTS . atakpodobne si to upravte na $aktualniDB. TABLE_PRODUCTS atakdale

}
....
o generovani se pak bude starat jeden admin (cron) na jednom miste a feed se muze nacitat take z jednoho mista

muzete doporuceny dopis nechat ve vypisu moznosti prepravy preskocit.
pokud je mate v urcitych kategoriich tak takto:

v tpl_checkout_shipping_default.php na zacatku
nastavte napr. $enable_post=="false" // post nahradte kodem typu prepravy

Zjistete parent_id (nebo master_categories_id) zbozi, pridejte podminku povoleni doporuceneho dopisu napriklad
if (($test->fields['parent_id']==10) || ($test->fields['parent_id']==14) ) {$enable_post=="true"}

za
$radio_buttons = 0;
for ($i=0, $n=sizeof($quotes); $i<$n; $i++) {

pridat kod
if (($quotes[$i]['id']=="post")&&($enable_post=="false")){ $i++;}

jeste je potreba přidat jazykový soubor a dalsi definici v includes/filenames.php.

ZEN pracuje s databazi svym stylem, vystup dava do objektu a s nimi dale pracuje.
Zpravidla se to dela nejak takto:

$dotazNaPosledniId="select MAX(orders_id) as posledni_objednavku from ".TABLE_ORDERS;
$hledame=$db->Execute($dotazNaPosledniId);
$posledniIdObjednavky=$hledame->fields["posledni_objednavku"];

echo $posledniIdObjednavky; // vysledek dotazu
print_r($hledame); // kontrolni vystup

Postavte si slozitejsi dotaz, pochopite to rychle

definoval jste si tabulku v database_tables.php nebo na ni mirite primo?

Do adresare Images nepatří nic než obrázky (standardních formátů) a htaccess. (případně podadresáře)

Jakékoliv jiné formáty obrázků - filtrovat na úrovni upload scriptu případně mezi židlou a klávesnicí.

Zaznamenali jsme i útoky Python scripty, pokusy o volání stránek ktere neexistuji
/1387969215/text/includes/templates/silverfish/css/includes/templates/silverfish/css/stylesheet_wgs.css

prozvaneni...
/callto:+420603xxxxxx HTTP/1.1" 200 65709 "-" "Java/1.6.0_15"

hlavně doporučuju skouknout v db tabulky jak jsem psal výš, u nás tam byly uloženy cesty k škodlivým souborům. Nakonec jsme tabulky s prefixem record_ smazali, pač je nevyužíváme.
Doporučuju také se důkladně zamyslet nad tím, kde použít CHMOD 777 a kde nižší úroveň

Doporucuji alespon toto v .htaccess

RewriteEngine on
# spamrobots
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} ^Anarchie [OR]
RewriteCond %{HTTP_USER_AGENT} ^ASPSeek [OR]
RewriteCond %{HTTP_USER_AGENT} ^attach [OR]
RewriteCond %{HTTP_USER_AGENT} ^autoemailspider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Xenu [OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus.*Webster [OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus
RewriteRule ^.* - [F,L]

v adresari kde jsou obrazky take v .htaccess
php_value engine off

take se vyplati upravy .htaccess nejlip od korene webu v zavislosti na povaze shopu

RedirectMatch (.*)\.cgi$ http://FAKE__URL__ADRESA

<Limit POST PUT>
order deny,allow
deny from all
Allow from IP_WEBOVE_ADMINISTRACE
Allow from IP_ADMINA
</Limit>
<Files .htaccess>
order allow,deny
deny from all
</Files>

/ upravy samozrejme po zaloze a pokud vite co delate /

DURAZNE doporucuju take udelat bezpecnostni patche viz http://www.zen-cart.com/forum/showthread.php?t=130161

Dale si skontrolovat tabulky record_companies atd jestli se tam neukladaji nejaka nezvykla data, pripadne je rovnou smazat, pokud je nevyuzivate

Samozrejmosti je pokud ste byli napadeni, proverit dukladne PC, zmenit hesla do admina, FTP a zmenu adresare minimalne pro administraci.

mozna este do application_top.php pridat na zacatek

$paramsToCheck = array('main_page', 'cPath', 'products_id', 'language', 'currency', 'action', 'manufacturers_id', 'pID', 'pid',
'reviews_id', 'filter_id', 'zenid', 'sort', 'number_of_uploads', 'notify', 'page_holder', 'chapter', 'alpha_filter_id', 'typefilter',
'disp_order', 'id', 'key', 'music_genre_id', 'record_company_id', 'set_session_login', 'faq_item', 'edit', 'delete',
'search_in_description', 'dfrom', 'pfrom', 'dto', 'pto', 'inc_subcat', 'payment_error', 'order', 'gv_no', 'pos', 'addr', 'error', 'count',
'error_message', 'info_message', 'cID', 'page');
$contaminated = false;
foreach($paramsToCheck as $key) {
if (isset($_GET[$key]) && substr($_GET[$key], 0, 4) == 'http') {
$contaminated = true;
break;
}
if (isset($_GET[$key]) && strlen($_GET[$key]) > 43) {
$contaminated = true;
}
}
if ($contaminated || isset($_GET['autoLoadConfig']) || isset($_GET['mosConfig_absolute_path']) || isset($_FILES['GLOBALS']) || isset($_REQUEST['GLOBALS']) )
{
header('HTTP/1.1 406 Not Acceptable');
exit(0);
}