[Typo3-UG Denmark] Beskytte Typo3 (jfr PostNuke)
Christian Jul Jensen
christian at jul.net
Thu Feb 24 20:57:07 CET 2005
"PK" <pk at no.spam> writes:
> "In essence, it detects attempts by malicious users to pass queries to the
> database through input fields.
> - Har TYPO3 nogle tilsvarande funktioner?
Ikke decideret, og så alligevel. TYPO3 "escaper" alle userinput før de
bliver sendt ned i databasen. Der bliver altså ikke decideret kigget
efter sql-injects. (Dette er en del af CGL, og er gældende i kernen,
du kan sikkert finde huller i extensions.
Et anden ting er cross site scripting, altså indsættelse af
html/javascript der sender/henter data fra andre sider, og på den måde
kompromitterer systemet. TYPO3 slipper dog kun bestemte tags igennem,
og prøver på andre måder at rydde op i det i de felter hvor det er
tilladt at sende html. Denne processering kan konfigureres, men er som
standard sat temmelig fornuftigt op.
> - Er der nogen samlet dokumentation hvordan man gör sin TYPO3-site mere
> "sikker"?
ikke så vidt vides, men det er da en god ide.
--
-julle
More information about the TYPO3-UG-denmark
mailing list