[Typo3-UG Oesterreich] Re: [Typo3-UG Oesterreich] template modul für nomale user

Matthias Liertzer linux at liertzer.at
Wed Jun 30 00:36:06 CEST 2004 

Hi

Die letzte Nachricht hat mich ziemlich feritg gemacht, da ich mir eigentlich 
ziemlich sicher war, dass ich das erst vor kurzm auf typo3.org gelesen hab. 
Und tatsächlich findet sich in "Inside Typo3" (vor wenigen wochen 
veröffentlicht) folgendes:

*A level between "admin" users and ordinary users*

It has often been requested to have more access levels between "admin" users 
and normal users in a system. This is particularly true when TYPO3 works as a 
CMS and some users should have access to TypoScript templates in the Web > 
Template module.
The reason why this is not possible to allow for normal users is that it fails 
the "PHP-execution criteria". By allowing users to alter TypoScript values in 
frontend templates you also offer them a way to execute custom PHP code on 
the server - which in turn means they can create a full "admin" account for 
themselves easily.
The "PHP-execution criteria" is typically the reason why a certain level of 
access is not possible to grant non-admin users - simply because they may be 
able to escalate their rights if they could.


andererseits hab ich nach ein wenig typo3 suche allerdings folgende mail an 
die typo3 userlist entdeckt, welche denselben "hack" anwendet, wie in der 
ersten mail beschrieben:

http://typo3.org/documentation/mailing-lists/user-list-archive/thread/240/?tx_maillisttofaq_pi1%5Bmode%5D=5&tx_maillisttofaq_pi1%5Bpointer%5D=2

Dann gäbe es ja jetzt noch die typo3config option:
$TYPO3_CONF_VARS["FE"]["noPHPscriptInclude"] = '1'

welche ich bis jetzt noch nicht gekannt hab. Allerdings glaube ich ist diese 
zu restriktiv, um wirklich eingesetzt zu werden, da sie wohl nicht zwischen 
extension code und usercode unterscheidet.(Oder doch? comments erwünscht) Das 
heißt es werden praktisch alle extensions nutzlos, welche ein user/userint 
objekt in typo verwenden.......


lg Matthias




Am Dienstag, 29. Juni 2004 20:54 schrieb Wolfgang Klinger:
>  Hmm, nicht ganz, man kann ganz leicht das Einbinden von PHP Skripts in
>  TypoScript unterbinden indem man einfach in der localconf.php die Option
> --------
> $TYPO3_CONF_VARS["FE"]["noPHPscriptInclude"] = '1'
> --------
>  setzt ;-) (default: off/0)
>  D.h. das wäre kein Problem.
>
>  gute Nacht
>  Wolfgang
>

More information about the TYPO3-at mailing list