[TYPO3-german] UID-ermitteln
Mathias Schreiber [TYPO3]
mathias at typo3.org
Fri Apr 27 14:38:22 CEST 2007
Fabian Koenig schrieb:
> Mathias Schreiber [TYPO3] schrieb:
>> Generell ist PHP Page Content NICHT zu empfehlen.
>
> Why not?
> Habs oefter gehoert, aber nie ein "Warum" dazu..
Weil dein Redakteur sich einfach mal nen Admin User anlegen kann.
Oder den Server aufmachen.
Oder sich dein Install Tool Passwort schnappt und ändert.
Oder deine DB löscht.
Oder deinen Server für DDoS Attacken benutzt.
Oder illegales Material zum Download anbietet.
Oder... oder...oder...
Alternativ wäre es vielleicht einfacher, SSH, FTP oder DB Zugänge im BE
aufzuschreiben und einen Knopf für Admin Login im Backend und einen zum
Löschen der DB anzulegen.
Vielleicht reicht das ja als Anfang, warum es fahrlässig ist,
Redakteuren PHP Rechte in deiner Install zu geben.
Wenn ein Admin diese Fahrlässigkeit in Kauf nimmt, soll mir das Recht
sein, empfehlen würde ich es trotzdem nicht.
Innerhalb einer Extension kann ich kontrollieren, was passiert und kann
(und sollte) böswilligen Zugriff verhindern.
> Genau dies würde mich auch interessieren. Vielmehr wurde meine Anfrage
> aber als Nonsens abgetan...
Nicht zwangsläufig.
Aber der richtige Weg wäre, dass du kurz umschreibst, welche
Funktionalität du benötigst und diese dann sauber in einer Extension zu
kapseln.
Theoretisch müßte auch dieser Include Kram laufen, schreib einfach mal
folgendes in deine PHP Datei rein:
(Ich setze hier voraus, dass die Variable, die returned wird auch
$content heißt, ist ja schon so ne Art Standard)
$content = t3lib_div::view_array($GLOBALS['TSFE']->fe_user->user);
echo $content;
debug() wurde vorgeschlagen, wäre auch der exakt richtige Weg, um sich
Arrays oder generell Variablen ausgeben zu lassen, setzt allerdings
voraus, dass du im Install Tool devIPMask auf deine IP setzt (oder auf
einen Range, aus dem du kommst).
Sehr zu empfehlen ist hier die Extension cc_debug, welche den STandard
Debug Call ersetzt und um einen Haufen nützlicher Features erweitert.
Finale Anmerkung:
Beachte, dass die Seite nicht im Cache sein darf, sonst gibts keinen
debug() Output.
Einfach &no_cache=1 an den URL hängen und gut is.
Grüße
Mathias
More information about the TYPO3-german
mailing list