Re: [TYPO3-german] select

Helmut Hummel Thu, 12 Jan 2012 00:00:08 -0800

Hallo Johannes,

keine Anmerkung zum eigentlichen Problem, trotzdem wichtig!


On 10.01.12 23:36, JCL - Johannes C. Laxander wrote:

temp.suchergebnis = COA
temp.suchergebnis {
   10 = TEXT
   10.dataWrap = Die Postleitzahl ist: {GP:plz}
   10.wrap =<p>|</p>


Cross Site Scripting Sicherheitslücke!

   20 = CONTENT
   20 {
     table = tx_vma_plzcluster
     select {
       selectField = mitarbeiter
       where = deleted=0
       andWhere.data = GP:plz
       andWhere.wrap = plz_range_start>='|'


Und hier noch mal eine SQL injection Lücke.

Lies mal das hier:

http://www.naw.info/blogs/typo3security/2011/07/02/typoscript-security/


Viele Grüße,
Helmut

--
Helmut Hummel
TYPO3 Security Team Leader, TYPO3 v4 Core Team Member

TYPO3 .... inspiring people to share!
Get involved: typo3.org
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

Re: [TYPO3-german] select

Antwort per Email an