[TYPO3-german] Schutz vor injection und anderem

[Henning Pingel]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Michael,

Am 14.12.2007 21:08 schrieb Michael Stein:
> bei der extension-entwicklung stellt sich ja immer wieder die Frage wie
> man die externen Eingaben so filtern kann, dass nicht irgendein
> Schweinkram drinsteht.
> Gibt es da irgendwo eine fertige Klasse die einem da ein bisschen Arbeit
> abnimmt oder muss da jeder das Rad selbst erfinden?

Am besten schauen wir uns die Themen XSS-Prävention und
SQL-Injection-Prävention getrennt an, da diese beiden
Verwundbarkeitstypen nicht über einen Kamm geschert werden können. Für
SQL Injections gibt's eigentlich, wie Patrick schon geschrieben hat,
ausreichend Hinweise in den Coding-Guidelines.

Was glaube ich in den Guidelines noch nicht drinsteht, ist, dass vor
kurzem in den TYPO3 4.2-Zweig eine Klasse zum Verhindern von XSS
eingeflossen ist: Auf den Impuls von Lars Houmark (Leiter TYPO3 Security
Team) hin hat Michael Stucki eine freie Anti-XSS-PHP-Funktion namens
RemoveXSS (von Travis Puderbaugh) in den Core eingefügt. (Das Ganze ist
nicht in 4.1.x enthalten.)

Michael Stucki schreibt im Changelog Folgendes zur Verwendung:

"Can be used by any script. Usage: $filtered_string =
t3lib_div::removeXSS($input_string);"

Weitere Infos:

http://bugs.typo3.org/view.php?id=6528
http://wiki.typo3.org/index.php/4.2_NEWS.txt
http://typo3.svn.sourceforge.net/viewvc/typo3/TYPO3core/trunk/typo3/contrib/RemoveXSS/RemoveXSS.php?view=markup
http://quickwired.com/smallprojects/php_xss_filter_function.php

Viele Grüße
Henning
Mitglied im TYPO3 Security Team
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHZBJKWAnue6OC6+URAhtMAJ4mixfsw+kv1gsUCiHnXXzhRbJVpwCfW1Bg
7YQMHeaMsgt3SnIzqDsVduc=
=pYWI
-----END PGP SIGNATURE-----