[TYPO3-german] select
Helmut Hummel
helmut.hummel at typo3.org
Thu Jan 12 08:59:45 CET 2012
Hallo Johannes,
keine Anmerkung zum eigentlichen Problem, trotzdem wichtig!
On 10.01.12 23:36, JCL - Johannes C. Laxander wrote:
> temp.suchergebnis = COA
> temp.suchergebnis {
> 10 = TEXT
> 10.dataWrap = Die Postleitzahl ist: {GP:plz}
> 10.wrap =<p>|</p>
Cross Site Scripting Sicherheitslücke!
> 20 = CONTENT
> 20 {
> table = tx_vma_plzcluster
> select {
> selectField = mitarbeiter
> where = deleted=0
> andWhere.data = GP:plz
> andWhere.wrap = plz_range_start>='|'
Und hier noch mal eine SQL injection Lücke.
Lies mal das hier:
http://www.naw.info/blogs/typo3security/2011/07/02/typoscript-security/
Viele Grüße,
Helmut
--
Helmut Hummel
TYPO3 Security Team Leader, TYPO3 v4 Core Team Member
TYPO3 .... inspiring people to share!
Get involved: typo3.org
More information about the TYPO3-german
mailing list