[TYPO3-german] SQL-Injections in CONTENT möglich?
Martin Holtz
typo3 at martinholtz.de
Thu Jul 19 20:37:11 CEST 2007
Hi,
kann mir jemand sagen, ob folgender Code gefährlich ist:
test = CONTENT
test {
table = tt_content
select.selectFields = *
select.where = 1=1
select.andWhere.insertData = 1
select.andWhere (
tt_content.pid = {GPvar:test}
)
}
Ist meine Seite dann über den Parameter test Angreifbar?
Geht der Inhalt von "andWhere" direkt in das SQL für die Datenbank?
Und wenn ja, gibt es eine Möglichkeit den Inhalt via mysql_real_escape oder
ähnlichem zu behandeln? Muss ich da ne User-Funktion schreiben?
danke & gruß,
martin
More information about the TYPO3-german
mailing list