[TYPO3-german] UID-ermitteln

Mathias Schreiber [TYPO3] mathias at typo3.org
Fri Apr 27 14:38:22 CEST 2007


Fabian Koenig schrieb:
> Mathias Schreiber [TYPO3] schrieb:
>> Generell ist PHP Page Content NICHT zu empfehlen.
> 
> Why not?
> Habs oefter gehoert, aber nie ein "Warum" dazu..

Weil dein Redakteur sich einfach mal nen Admin User anlegen kann.
Oder den Server aufmachen.
Oder sich dein Install Tool Passwort schnappt und ändert.
Oder deine DB löscht.
Oder deinen Server für DDoS Attacken benutzt.
Oder illegales Material zum Download anbietet.
Oder... oder...oder...

Alternativ wäre es vielleicht einfacher, SSH, FTP oder DB Zugänge im BE 
aufzuschreiben und einen Knopf für Admin Login im Backend und einen zum 
Löschen der DB anzulegen.

Vielleicht reicht das ja als Anfang, warum es fahrlässig ist, 
Redakteuren PHP Rechte in deiner Install zu geben.

Wenn ein Admin diese Fahrlässigkeit in Kauf nimmt, soll mir das Recht 
sein, empfehlen würde ich es trotzdem nicht.

Innerhalb einer Extension kann ich kontrollieren, was passiert und kann 
(und sollte) böswilligen Zugriff verhindern.

 > Genau dies würde mich auch interessieren. Vielmehr wurde meine Anfrage
 > aber als Nonsens abgetan...

Nicht zwangsläufig.
Aber der richtige Weg wäre, dass du kurz umschreibst, welche 
Funktionalität du benötigst und diese dann sauber in einer Extension zu 
kapseln.

Theoretisch müßte auch dieser Include Kram laufen, schreib einfach mal 
folgendes in deine PHP Datei rein:
(Ich setze hier voraus, dass die Variable, die returned wird auch 
$content heißt, ist ja schon so ne Art Standard)

$content = t3lib_div::view_array($GLOBALS['TSFE']->fe_user->user);
echo $content;

debug() wurde vorgeschlagen, wäre auch der exakt richtige Weg, um sich 
Arrays oder generell Variablen ausgeben zu lassen, setzt allerdings 
voraus, dass du im Install Tool devIPMask auf deine IP setzt (oder auf 
einen Range, aus dem du kommst).

Sehr zu empfehlen ist hier die Extension cc_debug, welche den STandard 
Debug Call ersetzt und um einen Haufen nützlicher Features erweitert.
Finale Anmerkung:
Beachte, dass die Seite nicht im Cache sein darf, sonst gibts keinen 
debug() Output.
Einfach &no_cache=1 an den URL hängen und gut is.

Grüße
Mathias


More information about the TYPO3-german mailing list