[TYPO3-german] select

Helmut Hummel helmut.hummel at typo3.org
Thu Jan 12 08:59:45 CET 2012


Hallo Johannes,

keine Anmerkung zum eigentlichen Problem, trotzdem wichtig!

On 10.01.12 23:36, JCL - Johannes C. Laxander wrote:

> temp.suchergebnis = COA
> temp.suchergebnis {
>    10 = TEXT
>    10.dataWrap = Die Postleitzahl ist: {GP:plz}
>    10.wrap =<p>|</p>

Cross Site Scripting Sicherheitslücke!


>    20 = CONTENT
>    20 {
>      table = tx_vma_plzcluster
>      select {
>        selectField = mitarbeiter
>        where = deleted=0
>        andWhere.data = GP:plz
>        andWhere.wrap = plz_range_start>='|'

Und hier noch mal eine SQL injection Lücke.

Lies mal das hier:

http://www.naw.info/blogs/typo3security/2011/07/02/typoscript-security/


Viele Grüße,
Helmut

-- 
Helmut Hummel
TYPO3 Security Team Leader, TYPO3 v4 Core Team Member

TYPO3 .... inspiring people to share!
Get involved: typo3.org


More information about the TYPO3-german mailing list