[TYPO3-UG Dutch] hulp gevraag bij beveiliging van MySQL query in typoscript
Hans van Breugel
typo3 at vanbreugel.info
Mon Oct 31 12:46:33 CET 2011
Hallo allemaal,
Ik heb een eenvoudig formuliertje gemaakt (zie hieronder op
[PIDinRootline = 1]) waarmee men, door een deel van een naam in te
typen, een zoekresultaat krijgt (op [PIDinRootline = 2])
Omdat ik er niet zeker van ben of dit wel een veilige manier is (ik heb
het vermoeden van niet) en ik niet weet hoe ik dit script kan beveiligen
tegen SQL injecties en ander ongein zou ik jullie willen vragen om hier
naar te kijken en met ideeën voor verbetering te komen.
(alle voor deze case overbodige code heb ik weggelaten).
Alvast bedankt voor het meedenken.
Met vriendelijke groet,
Hans van Breugel
Rotterdam
### zoek op naam - begin
[PIDinRootline = 1]
# op pagina http://domein.nl/zoek staat het invulformuliertje
page.10 = TEXT
page.10.value (
<form method="post" action="/zoekresultaat" enctype="multipart/form-data">
<label for="name">Naam:</label>
<input type="text" name="zoeknaam" id="zoeknaam" value=""/>
<input type="submit" style="border:0px;" value="zoek" />
</form>
)
[end]
[PIDinRootline = 2]
# op pagina http://domein.nl/zoekresultaat staat het resultaat van de
query
page.10 = CONTENT
page.10 {
table = tx_namedata_extra
select {
pidInList = 4
selectFields = name, firstname, lastname
where.dataWrap = name LIKE "%{GPvar:zoeknaam}%"|
}
renderObj = COA
renderObj {
10 = TEXT
10.dataWrap = {name},{firstname},lastname}
}
}
[END]
### zoek op naam - einde
More information about the TYPO3-UG-Dutch
mailing list