[TYPO3-german] FE Plugin BE Form und addslashes Frage?
Hi, ich habe ein FE Plugin, mit dem ich HTML Formular Daten in die TYPO3 Datenbank schreiben kann. Alle Werte, die der benutzer eingibt werden mit addslashes bzw. mit der t3lib_div::fullQuoteArr() behandelt. Ebenso werden die Slashes wieder mit stripshlashes bearbeitet wenn aus der DB gelesen wird. Nun ist es aber leider so, dass wenn ein Datensatz im BE bearbeitet wird, dass dann die Slashes nicht entfernt werden. D.h. der Benutzer hat in den BE Formularen überall escape-Slashes drin. Wie ist hier die richtige Vorgehensweise, damit DB Abfragen sicher sind aber der Benutzer sowohl im FE als auch im BE die Slashes nicht sieht? Danke für Tipps, Gerd ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] FE Plugin BE Form und addslashes Frage?
Am Sat, 20 Mar 2010 14:03:43 +0100 schrieb Gerhard Mehsel: Hi, ich habe ein FE Plugin, mit dem ich HTML Formular Daten in die TYPO3 Datenbank schreiben kann. Alle Werte, die der benutzer eingibt werden mit addslashes bzw. mit der t3lib_div::fullQuoteArr() behandelt. Ebenso werden die Slashes wieder mit stripshlashes bearbeitet wenn aus der DB gelesen wird. Nun ist es aber leider so, dass wenn ein Datensatz im BE bearbeitet wird, dass dann die Slashes nicht entfernt werden. D.h. der Benutzer hat in den BE Formularen überall escape-Slashes drin. Wie ist hier die richtige Vorgehensweise, damit DB Abfragen sicher sind aber der Benutzer sowohl im FE als auch im BE die Slashes nicht sieht? Benutze für das Einfügen in die und Auslesen aus der Datenbank die offizielle Schnittstelle [1] und du musst dich nicht selber um Slashes kümmern. Machst du es trotzdem gibt es ein Durcheinander weil es dann irgendwann zu oft oder zu wenig gemacht wird. zb. in Formularen des BE. Bei deinen FE-Formularen solltest du natürlich ebenso die API benutzen und zb. die Eingaben über die abgesicherten Methode t3lib_div::GPVar ($varname) auslesen. [1] Codebeispiele: http://www.pi-phi.de/database-api.html bernd -- http://www.pi-phi.de/cheatsheet.html ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
