[TYPO3-german] GP liest GET-Parameter nicht aus

Tue Feb 17 08:31:38 CET 2015

Hallo Jannik!

Am 14.02.15 um 00:04 schrieb Jannik Heuer:

> plugin.tx_wecmap_pi3{
>    tables{
>      10{
>        table = tx_cal_location
>        join = JOIN tx_cal_event AS ev ON tx_cal_location.uid = ev.location_id
>        where {
>          data = GP:tx_cal_controller|uid
>          wrap = ev.uid=|
>          insertData = 1
>        }
>      }
>    }
> }

> Was mache ich falsch???

Das Schlimmste was Du falsch machst, ist das Erzeugen einer kritischen 
Sicherheitslücke mit dem oben gezeigten ts code.

Um diese zu beheben musst Du "insertData = 1", welches eh überflüssig 
ist, an der Stelle ersetzen mit "intval = 1"
Dadurch wird sichergestellt dass nur integer Werte an die SQL query 
übergeben werden können.

Viele Grüße,
Helmut

-- 
Helmut Hummel
Release Manager TYPO3 6.0
TYPO3 CMS Active Contributor, TYPO3 Security Team Member

TYPO3 .... inspiring people to share!
Get involved: typo3.org