[TYPO3-german] select

JCL - Johannes C. Laxander jc at laxander.com
Thu Jan 12 10:13:14 CET 2012


Hallo Helmut,

danke für deinen Hinweis. Das Problem ist mir bekannt. Ich bin im Moment
auch noch beim Austesten und habe aber nochkeine Lösung für mein
eigentliches Problem gefunden. Dein Artikel-Link ist sehr gut.

dazu noch eine ergänzende Frage:

Wenn ich, wie in meinem Beispiel unten, eine Postleitzahl über ein Formular
eingeben lasse, kann diese ja auch mit einer "0" beginnen. Wenn ich nun den
intval-Parameter setze, wird die Postleitzahl ja in eine Ganzzahl
umgewandelt und würde dadurch die führende Null verlieren. 

a) Ist das richtig?
b) Wenn ja, wie kann ich das Problem anders lösen?

Gruß, Johannes.


> -----Ursprüngliche Nachricht-----
> Von: typo3-german-bounces at lists.typo3.org 
> [mailto:typo3-german-bounces at lists.typo3.org] Im Auftrag von 
> Helmut Hummel
> Gesendet: Donnerstag, 12. Januar 2012 09:00
> An: typo3-german at lists.typo3.org
> Betreff: Re: [TYPO3-german] select
> 
> Hallo Johannes,
> 
> keine Anmerkung zum eigentlichen Problem, trotzdem wichtig!
> 
> On 10.01.12 23:36, JCL - Johannes C. Laxander wrote:
> 
> > temp.suchergebnis = COA
> > temp.suchergebnis {
> >    10 = TEXT
> >    10.dataWrap = Die Postleitzahl ist: {GP:plz}
> >    10.wrap =<p>|</p>
> 
> Cross Site Scripting Sicherheitslücke!
> 
> 
> >    20 = CONTENT
> >    20 {
> >      table = tx_vma_plzcluster
> >      select {
> >        selectField = mitarbeiter
> >        where = deleted=0
> >        andWhere.data = GP:plz
> >        andWhere.wrap = plz_range_start>='|'
> 
> Und hier noch mal eine SQL injection Lücke.
> 
> Lies mal das hier:
> 
> http://www.naw.info/blogs/typo3security/2011/07/02/typoscript-
> security/
> 
> 
> Viele Grüße,
> Helmut
> 
> --
> Helmut Hummel
> TYPO3 Security Team Leader, TYPO3 v4 Core Team Member
> 
> TYPO3 .... inspiring people to share!
> Get involved: typo3.org
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
> 



More information about the TYPO3-german mailing list