Hallo Helmut, danke für deinen Hinweis. Das Problem ist mir bekannt. Ich bin im Moment auch noch beim Austesten und habe aber nochkeine Lösung für mein eigentliches Problem gefunden. Dein Artikel-Link ist sehr gut.
dazu noch eine ergänzende Frage: Wenn ich, wie in meinem Beispiel unten, eine Postleitzahl über ein Formular eingeben lasse, kann diese ja auch mit einer "0" beginnen. Wenn ich nun den intval-Parameter setze, wird die Postleitzahl ja in eine Ganzzahl umgewandelt und würde dadurch die führende Null verlieren. a) Ist das richtig? b) Wenn ja, wie kann ich das Problem anders lösen? Gruß, Johannes. > -----Ursprüngliche Nachricht----- > Von: typo3-german-boun...@lists.typo3.org > [mailto:typo3-german-boun...@lists.typo3.org] Im Auftrag von > Helmut Hummel > Gesendet: Donnerstag, 12. Januar 2012 09:00 > An: typo3-german@lists.typo3.org > Betreff: Re: [TYPO3-german] select > > Hallo Johannes, > > keine Anmerkung zum eigentlichen Problem, trotzdem wichtig! > > On 10.01.12 23:36, JCL - Johannes C. Laxander wrote: > > > temp.suchergebnis = COA > > temp.suchergebnis { > > 10 = TEXT > > 10.dataWrap = Die Postleitzahl ist: {GP:plz} > > 10.wrap =<p>|</p> > > Cross Site Scripting Sicherheitslücke! > > > > 20 = CONTENT > > 20 { > > table = tx_vma_plzcluster > > select { > > selectField = mitarbeiter > > where = deleted=0 > > andWhere.data = GP:plz > > andWhere.wrap = plz_range_start>='|' > > Und hier noch mal eine SQL injection Lücke. > > Lies mal das hier: > > http://www.naw.info/blogs/typo3security/2011/07/02/typoscript- > security/ > > > Viele Grüße, > Helmut > > -- > Helmut Hummel > TYPO3 Security Team Leader, TYPO3 v4 Core Team Member > > TYPO3 .... inspiring people to share! > Get involved: typo3.org > _______________________________________________ > TYPO3-german mailing list > TYPO3-german@lists.typo3.org > http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german > _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
