[TYPO3-german] page_php_content unsicher?
Andreas Meier
anmeier at gmx.de
Fri May 13 14:40:05 CEST 2011
Teile die Meinung von Rainer nicht ganz.
Wenn es für meinen Anwendungsbedarf keine geeignete Extension gibt und
mein Problem einigermaßen trivial ist, kann ich mit page_php_content
sehr einfach eine Lösung herbeiführen.
Die Alternative, wenn es eben nicht mehr trivial ist, ist eine eigene
Extension herzustellen. Daraus läßt sich aber erstmal noch kein höhere
Sicherheit ableiten wie bei page_php_content. Theoretisch kann ich den
gleichen "Müllcode" in meine eigene Extension packen wie in
page_php_content. Erst die Nutzung des Frameworks, z.B. die Funktionen
der Datenbankanbindung, bringen mir dann tatsächlich einen
Sicherheitsgewinn, weil ich mir um SQL-Injections weniger Gedanken
machen muss.
Um aber auf die Frage von Christian zurückzukommen:
page_php_content als solches ist wahrscheinlich NICHT das
Sicherheits-Problem. Eher das was damit gemacht wird, sprich der darin
verwurstelte PHP-Code. Das ist evtl. schwer zu überprüfen.
Deswegen: page_php_content meiden so gut es geht!
Gruß
Andreas
Am 13.05.2011 09:47, schrieb Rainer Schleevoigt:
> On 5/13/11 9:28 AM, Christian Essl wrote:
>> Weiß jemand, was speziell bei page_php_content als unsicher angesehen
>> wird ?
>>
> Hallo,
>
> der Einsatz solcher (eigentlich zu verbietenden) Extensions ist deswegen
> ein Sicherheitsloch, weil alle Sicherheitsüberlegungen von TYPO3
> ausgehebelt werden.
>
> Gruß Rainer
>> Gruß,
>> Christian
>> _______________________________________________
>> TYPO3-german mailing list
>> TYPO3-german at lists.typo3.org
>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>
More information about the TYPO3-german
mailing list