[TYPO3-german] Kontaktformular für jeden User - SQL Injection?

[Martin Holtz]

Hi Martin,

> mit mailformplus hab ich es denn nun endlich geschafft, emails an
> unterschiedliche Empfänger zu senden. Das TypoScript sind dazu so aus:
> includeLibs.tx_thmailformplus_pi1 =
> EXT:th_mailformplus/pi1/class.tx_thmailformplus_pi1.php
> 
> plugin.tx_thmailformplus_pi1 {
>    default {
>      email_to = USER
>      email_to {
>        userFunc = user_mailformplusAPI->user_getDBValue
>        dbTable = be_users
>        dbField = email
>        orderBy = uid DESC
>        where = TEXT
>        where.value = (uid="{GPvar:receiver_id}" AND deleted=0) or uid=1
Soweit ich weiß, wird GPvar:receiver_id nicht gesondert behandelt. Mit
dieser Query ist Dein Skript meiner Meinung nach angreifbar für eine
SQL-Injection.

Abhilfe sollte die stdWrap Funktion intVal schaffen. Damit kann dann
sichergestellt werden, dass das immer eine Zahl ist.

>        where.insertData = 1
>      }
>    }
> }

gruß,
martin

-- 
TSConfig:
http://typo3.org/documentation/document-library/references/doc_core_tsconfig/current/view/
TSRef: http://wiki.typo3.org/index.php/De:TSref
http://wiki.typo3.org/index.php/User:Maholtz
http://www.martinholtz.de