[TYPO3-german] Crossite Scripting t3lib_div::_POST('variable')

Chris Bernhard chris at dreamride.de
Thu Jul 1 08:46:36 CEST 2010


Am 30.06.2010 23:31, schrieb Christian Wolff:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Am 30.06.2010 22:29, schrieb Chris Bernhard:
>> Hi zusammen,
>>
>> wenn ich eine Variable über t3lib_div::_POST('variable') verarbeite
>> und damit meinetwegen eine MySQL Abfrage starte, bin ich dann
>> schon vor XSS Scripting sicher oder muss ich hier noch irgendwas beachten?
>>
>> Viele Grüße und Dankeschön,
>>
>> Chris
>
> Hallo Chris,
> die functionen:
> t3lib_div::_POST(), t3lib_div::_GET() ,t3lib_div::_GP()
>
> kümmern sich lediglich darum das die variablen unabhängig von der server
> konfiguration ohne escaping bei dir ankommen.
>
> wenn du sie in datenbank abfragen verwenden willst solltest du sie escapen.
>
> dafür gibts in der classe t3lib_DB die function fullQuoteStr($str,$table)
>
> also folgende verwendung:
> $myPostVar = t3lib_div::_POST();
> $myPostVar = $GLOBALS['TYPO3_DB']->fullQuoteStr($myPostVar,'pages');
>
> die funktion setzt den string direkt in anführungzeihen. da rüber bin
> das erst mal gestolpert.
>
> gruss chris
>
>
>
>
> - --
> Christian Wolff // Berlin
> http://www.connye.com
>
> some projects:
> http://richtermediagroup.com | http://titanic.de |
> http://fairplay-homepage.de
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.9 (MingW32)
>
> iEYEARECAAYFAkwrt6gACgkQIcCaXPh/JHH3SwCgz6HDxLKRDCt9FIFK7JYhMKWI
> SqYAoLd1PB/2ZtOdzLUptSUfuGc86pQC
> =dw2M
> -----END PGP SIGNATURE-----

Hi Chris auch :-)

Okay, dankeschön für den Hinweis, aber reicht dann nicht schon sowas wie

$this->myfunction(htmlspecialchars(t3lib_div::_POST('mypostvar')));

So sieht dann die Funktion aus:

function myfunction($test)
{

$clause = "p.plz LIKE '$test' LIMIT 1 ";

$res = $GLOBALS['TYPO3_DB']->exec_SELECTquery('*','tx_blablabla_huhu p 
LEFT JOIN tx_blablabla_huhuhu a ON p.id= a.pid', $clause);

um eine Attacke komplett auszuschließen? Möchte ja nur sichergehen, dass 
meine Extensions auch wirklich sicher sind :-)

Vielen Dank und beste Grüße,

Chris


More information about the TYPO3-german mailing list