[TYPO3-UG Russia] Re: [Typo3-UG Russia] Про TS и TSFE
Dmitry Dulepov
typo3 at fm-world.ru
Thu Jan 12 11:10:46 CET 2006
Привет!
Michael Shigorin wrote:
> On Mon, Jan 09, 2006 at 12:55:09PM +0200, Dmitry Dulepov wrote:
>
>>andWhere {
>> data = global:TSFE|fe_user|user|uid
>> wrap = fe_user = '|'
>>}
>>
>>Всё это будет очень плохо работать, если в имени есть апострофы.
>
>
> Эээ... а тогда вообще sql injection может выйти, не?
> (или их переквотит нафиг кто-то дальше?)
>
Может. Как вариант:
andWhere {
data = global:TSFE|fe_user|user|uid
preUserFunc = user_myQuoteStr
wrap = fe_user = |
}
* * *
function user_myQuoteStr($content, $conf) {
return $GLOBALS['TYPO3_DB']->fullQuoteStr($content, 'fe_users');
}
Дима.
More information about the TYPO3-russia
mailing list