[TYPO3-german] FE Plugin BE Form und addslashes Frage?
bernd wilke
t3ng at pi-phi.tk
Sat Mar 20 16:15:11 CET 2010
Am Sat, 20 Mar 2010 14:03:43 +0100 schrieb Gerhard Mehsel:
> Hi,
>
> ich habe ein FE Plugin, mit dem ich HTML Formular Daten in die TYPO3
> Datenbank schreiben kann. Alle Werte, die der benutzer eingibt werden
> mit addslashes bzw. mit der t3lib_div::fullQuoteArr() behandelt. Ebenso
> werden die Slashes wieder mit stripshlashes bearbeitet wenn aus der DB
> gelesen wird.
>
> Nun ist es aber leider so, dass wenn ein Datensatz im BE bearbeitet
> wird, dass dann die Slashes nicht entfernt werden. D.h. der Benutzer hat
> in den BE Formularen überall escape-Slashes drin.
>
> Wie ist hier die richtige Vorgehensweise, damit DB Abfragen sicher sind
> aber der Benutzer sowohl im FE als auch im BE die Slashes nicht sieht?
>
Benutze für das Einfügen in die und Auslesen aus der Datenbank die
offizielle Schnittstelle [1] und du musst dich nicht selber um Slashes
kümmern. Machst du es trotzdem gibt es ein Durcheinander weil es dann
irgendwann zu oft oder zu wenig gemacht wird. zb. in Formularen des BE.
Bei deinen FE-Formularen solltest du natürlich ebenso die API benutzen
und zb. die Eingaben über die abgesicherten Methode t3lib_div::GPVar
($varname) auslesen.
[1] Codebeispiele: http://www.pi-phi.de/database-api.html
bernd
--
http://www.pi-phi.de/cheatsheet.html
More information about the TYPO3-german
mailing list