Schnellnavigation:

Kategorien

« Juli 2017»
S M T W T F S
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          

Kopieren Sie diesen Link in Ihren RSS-Reader

RSS 0.91Nachrichten
RSS 2.0Nachrichten

In eigener Sache

Peter Linzenkirchner, Lisardo EDV Beratung in Augsburg. Freelance und Partner für Design- und Webagenturen in Augsburg und München. Pixelgenaue Templates, valides HTML, barrierearm. TYPO3-Projekte, Extension-Programmierung und mehr ... 

Zur Zeit wird gefiltert nach: datenbank
Filter zurücksetzen

Datenbankabfragen sollten in Extensions nie über die normalen SQL-Befehle erfolgen. Gründe:

  • die globale Datenbank-Abstraktionsschicht DBAL wird eingbezogen; heisst, die Extension läuft automatisch auch mit anderen Datenbanken als MySQL
  • die Verbindung zur Datenbank muss nicht eigens erstellt und beendet werden
  • die INSERT-Queries führen automatisch ein FullQuote durch (die Mindest-Absicherung gegen SQL-Injection)
  • die verfügbaren Befehle sind zum Teil einfach bequem …

Funktionen aufrufen

Die Klassen müssen nicht initialisiert werden, es reicht, sie über die GLOBALS aufzurufen:

  1. $GLOBALS['TYPO3_DB']->exec_SELECTquery( .... )

Absicherung gegen SQL-Injection

Alle Eingaben, die vom Besucher der Website kommen (also über GET oder POST) müssen vorher abgesichert werden. Das betrifft vor allem die Befehle zum Einfügen in die Datenbank, ausserdem aber auch die Übernahme von Benutzerdaten in die where-Abschnitte der SQL-Abfragen. Auch hier sollten die Typo3-Funktionen benutzt werden, damit die Quotierung für jede Datenbank passend erfolgt. Folgende Funktionen stehen zur Verfügung:

  1. # Quotieren von Zeichenketten
  2. $GLOBALS['TYPO3_DB']->fullQuoteStr($str,$table);

Parameter

  • string: Zeichenkette, die quotiert werden soll
  • string: Tabellenname (daraus entnimmt DBAL die korrekte Quotierungstechnik)

  1. # Quotieren von eindimensionalen Arrays:
  2. $GLOBALS['TYPO3_DB']->fullQuoteArray($arr,$table,$noQuote=FALSE);

Parameter

  • array: eindimensionales oder assoziatives Array mit den Daten
  • string: Tabellenname (daraus entnimmt DBAL die korrekte Quotierungstechnik)
  • string/array: Liste oder Array von Schlüsseln, die nicht quotiert werden sollen. Nur bei assoziativen Datenarrays anwenden!

  1. # kommaseparierte Listen zu Integerlisten umwandeln (über intval() )
  2. $GLOBALS['TYPO3_DB']->cleanIntList($list)

Parameter

  • string: kommaseparierte Liste mit Werten, die Integer sein sollen

  1. # Arraywerte zu Integer umwandeln (über intval() )
  2. $GLOBALS['TYPO3_DB']->cleanIntArray($arr)

Parameter

  • array: Array mit Werten, die Integer sein sollen

Datenbankabfragen

  1. # SELECT-Abfrage
  2. $GLOBALS['TYPO3_DB']->exec_SELECTquery(
  3.       $select_fields,
  4.       $from_table,
  5.       $where_clause,
  6.       $groupBy='',
  7.       $orderBy='',
  8.       $limit=''
  9. )

Parameter

  • string: Liste der Felder oder * für alle Felder
  • string: Tabelle(n). Es gelten die üblichen SQL-Regeln für Aliase
  • string: WHERE-Klausel. Wie in SQL üblich. ACHTUNG: man muss alle GET / POST-Werte hier selbst qotieren! Verwenden Sie $this->fullQuoteStr() – siehe oben. Hier nicht Befehle wie GROUP oder LIMIT verwenden.
  • string: Optionale GROUP-Anweisung
  • string: Optionale ORDER BY-Anweisung
  • string: Optionale LIMIT-Anweisung.

  1. # INSERT-Abfrage
  2. $GLOBALS['TYPO3_DB']->exec_INSERTquery    (
  3.       $table,
  4.       $fields_values,
  5.       $no_quote_fields=FALSE
  6. )

Parameter

  • string: Tabelle
  • array: Feldwerte als array mit key=>value Paaren. Die Werte werden intern quotiert. Typischerweise verwenden Sie ein Array “$insertFields” mit ‘fieldname’=>‘value’ und übergeben es als Argument.
  • string/array: Liste oder Array von Schlüsseln, die nicht quotiert werden sollen; siehe ober bei fullQuoteArray()

  1. # UPDATE-Abfrage
  2. $GLOBALS['TYPO3_DB']->exec_UPDATEquery    (
  3.       $table,
  4.       $where,
  5.       $fields_values,
  6.       $no_quote_fields=FALSE
  7. )

Parameter

  • string: Tabelle
  • string: WHERE-Anweisung, typischerweise “uid=xx”. Achtung: Sie müssen alle GET- oder POST-Parameter hier selbst quoten – siehe oben.
  • array: Feldwerte als array mit key=>value Paaren. Die Werte werden intern quotiert. Typischerweise verwenden Sie ein Array “$insertFields” mit ‘fieldname’=>‘value’ und übergeben es als Argument.
  • string/array: Liste oder Array von Schlüsseln, die nicht quotiert werden sollen; siehe ober bei fullQuoteArray()

  1. # DELETE-Abfrage
  2. $GLOBALS['TYPO3_DB']->exec_DELETEquery($table,$where)

Parameter

  • string Tabelle
  • string WHERE-Anweisung, typischerweise “uid=xx”. Achtung: Sie müssen alle GET- oder POST-Parameter hier selbst quoten – siehe oben.

Spezielle Datenbank-Anweisungen

Die folgende Funktion eignet sich hervorragend zum Auswerten einer n-n Datenverbindung, wie sie zum Beispiel bei der Verwendung von Kategorien anfällt. Bedingung ist allerdings, dass die Verbindung mit einer m_m-Tabelle erfolgt und nicht über ein einzelnes Feld mit kommaseparierter ID-Liste.

  1. # SELECT relational
  2. $GLOBALS['TYPO3_DB']->exec_SELECT_mm_query(
  3.       $select,
  4.       $local_table,
  5.       $mm_table,
  6.       $foreign_table,
  7.       $whereClause='',
  8.       $groupBy='',
  9.       $orderBy='',
  10.       $limit=''
  11. )

Parameter

  • string: Liste der Felder oder * für alle Felder
  • string: Name der lokalen Tabelle
  • string: Name der Relationalen m_m-Tabelle
  • string: Name der fremden, verknüpften Tabelle
  • string: WHERE-Klausel. Wie in SQL üblich. ACHTUNG: man muss alle GET / POST-Werte hier selbst qotieren! Verwenden Sie $this->fullQuoteStr() – siehe oben. Hier nicht Befehle wie GROUP oder LIMIT verwenden. Es muss ein ‘ AND ‘ eingefügt werden.
  • string: Optionale GROUP-Anweisung
  • string: Optionale ORDER BY-Anweisung
  • string: Optionale LIMIT-Anweisung.

Achtung: Viele Feldnamen in Typo3 sind identisch (uid, pid, hidden etc.). Das kann bei der Auswertung zu Problemen führen, da die Felder nicht eindeutig sind! Es ist deshalb sinnvoll, imm select- und für die Tabellennamen mit Aliasen zu arbeiten:

  1. $GLOBALS['TYPO3_DB']->exec_SELECT_mm_query(
  2.       'a.uid as a_uid, b.uid as b_uid',
  3.       'tabelle_1 a',
  4.       'tabelle_m_m',
  5.       'tabelle_2 b',
  6.       $whereClause='',
  7.       $groupBy='',
  8.       $orderBy='',
  9.       $limit=''
  10. )

Ein ganz besondere Funktion ist listQuery(): Sie ermöglicht eine einfache Behandlung von relationalen Verknüpfungen, die nicht über eine dritte m_m-Tabelle laufen sondern über Felder mit kommaseparierten Listen.

  1. $GLOBALS['TYPO3_DB']->listQuery  (
  2.       $field,
  3.       $value,
  4.       $table
  5. )

Das Problem derartiger Verknüpfungen ist, dass die Abfrage über LIKE laufen muss, und dabei zusätzlich unterschieden werden muss, auf welcher Seite des gewünschten Wertes das Komma folgt. Kern der Funktion ist diese Zeile:

  1. $where='('.$field.' LIKE \'%,'.$command.',%\' OR '.$field.' LIKE \''.$command.',%\' OR '.$field.' LIKE \'%,'.$command.'\' OR '.$field.'=\''.$command.'\')';

Parameter

  • string: Feldname, der die kommaseparierte Liste enthält
  • string: Wert, der gefunden werden soll
  • string: Tabelle, in der gesucht wird (für die korrekte Behandlung durch DBAL)

In die gleiche Richtung geht die folgende Funktion, die Srings für die LIKE-Abfrage korrekt für DBAL umsetzt:

  1. $GLOBALS['TYPO3_DB']->escapeStrForLike($str,$table)

WICHTIG: Es gibt eine hervorragende Abkürzung, um die wichtigen einschränkenden Felder in der WHERE-Abfrage automatisch einzuschließen: hidden, deleted, von/bis, Frontenduser etc. Die WHERE-Abrage muss einfach damit erweitert werden:

  1. $this->cObj->enableFields('datenbank')

Also zum Beispiel in der exec_SelectQuery:

  1. # SELECT-Abfrage
  2. $GLOBALS['TYPO3_DB']->exec_SELECTquery(
  3.       $select_fields,
  4.       $from_table,
  5.       $where_clause.$this->cObj->enableFields('datenbank'),
  6.       $groupBy='',
  7.       $orderBy='',
  8.       $limit=''
  9. )

Noch drei weitere Funktionen werden öfter gebraucht:

  1. # Liefert eine Integer zurück mit der Anzahl der betroffenen Datenzeilen, z. B. bei INSERT oder UPDATE
  2. $GLOBALS['TYPO3_DB']->sql_affected_rows( )

  1. # Liefert eine Integer, die uid des zuletzt eingefügten Datensatzes (über INSERT)
  2. $GLOBALS['TYPO3_DB']->sql_insert_id  ( )

  1. # Liefert eine Integer, mit der Anzahl der gefundenen Datensätze
  2. $GLOBALS['TYPO3_DB']->t3lib_DB.sql_num_rows($res)

Parameter

  • pointer: Der Resultpointer einer vorher erfolgten SELECT-Abfrage.

Weiterführende Links

 

Achtung: Keine Gewähr: bei mir hat das folgende geklappt, aber es hängt stark von der Konfiguration von PhpMyAdmin ab! Das muss nämlich bereits korrekt auf utf-8 konfiguriert sein (was allerdings bei neuen Verisionen der Fall sein sollte). Siehe unten die beiden Links für eine Version, die sicherer funktioniert, aber leider Shell-Zugriff benötigt.

Ziel ist die Umstellung einer vorhandenen Installation in ISO-8859-1 nach utf-8. Dazu sind eine Reihe von Schritten nötig:

  • mit PhpMyAdmin die Datenbank exportieren. PhpMyAdmin erstellt dabei standardmäßig eine Datei in utf-8; heisst, die Daten sind bereits konvertiert.
  • neue DB anlegen und dabei darauf achten, dass die neue DB eine Collation von utf8_general_ci bekommt. Notfalls nachträglich in PhpMyAdmin in der Karteikarte »Operationen« umstellen.
  • Die exportiere SQL-Datei in einem Editor öffnen und dort die Einträge “DEFAULT CHARSET=latin1” entfernen.Achtung: bei mir gab es ein Problem mit der Tabelle »tx_realurl_pathcache« – beim Import erhielt ich eine Fehlermeldung, dass der Schlüssel länger wäre als 1000 Zeichen, was nicht erlaubt ist. Das liegt an der Umstellung auf utf-8: durch die benötigten 2 – 3 Byte pro Zeichen wird der Schlüssel zu lang. Ich habe deshalb bei dieser Tabelle “DEFAULT CHARSET=latin1” gelassen.
  • Danach die Datei mit PhpMyAdmin importieren. Wenn alles richtig eingestellt ist, werden die Daten jetzt als utf-8 eingelesen. Das kann kontrolliert werden mit einer kleinen PHP-Datei:

  1. $db_link=mysql_connect(db_url,db_user,db_passwort);
  2. $names=mysql_query('set names utf8');
  3. $db_sel=mysql_select_db(db_name) or die("Auswahl der Datenbank fehlgeschlagen");
  4. $sql="SELECT * FROM pages";
  5. echo'<table border="1">';
  6. while ($zeile=mysql_fetch_array($db_erg,MYSQL_ASSOC))
  7. {
  8.   echo"<tr>";
  9.   echo"<td>".$zeile['uid']."</td>";
  10.   echo"<td>".$zeile['title']."</td>";
  11.   echo"</tr>";
  12. }
  13. echo"</table>";

Den Output überprüfen, indem die Kodierung im Browser entsprechend umgestellt wird (oder denOutput mit einem HTML-Header erweitern und ein charset mitgeben). Entscheidend ist diese Zeile:

  1. $names=mysql_query('set names utf8');

sie stellt nämlich die Collation der Verbindung auf utf-8 um, die sonst standardmäßig auf latin stehen würde. Jetzt müssten alle Seitennamen korrekt in utf-8 im Browser erscheinen und PhpMyAdmin müsste sie ebenfalls korrekt anzeigen. Ohne Umstellen der Verbindung würde PhpMyAdmin zwar korrekt utf-8 in die Datenbank schreiben, wir würden aber mit PHP immer noch latin auslesen.

Der Witz ist, dass jetzt wirklich diese Testdatei und PhpMyAdmin die korrekten Zeichen anzeigen müssen!

Allerdings klappt es in TYPO3 noch nicht. Nächster Schritt:

  • Im Installtool muss bei [forceCharset] “utf-8” und bei [setDBInit] “set names utf8” eingetragen werden. Der erste Eintrag sorgt dafür, dass das Backend und die Frontendausgabe immer auf utf-8 eingestellt sind und die zweite Angabe stellt die Kollation der Datenbankverbindung auf utf-8. Insbesondere der zweite Eintrag ist nötig, sonst erhält TYPO3 durch die falsche Standardkollation der Verbindung (latin) doch keine utf-8-Daten.

Weiterführende Links

  • UTF-8-Umstellung (Großen Dank an Oliver, der Tipp mit [setDBInit] war der entscheidende Hinweis nach einigen Stunden Suche).
  • MySQL: Zeichensatz-Grundlagen – Der ausführlichste Artikel zum Problem der Zeichensätze in MySQL. Köhntopp rät allerdings von einer Umstellung der gesamten Datenbank auf UTF-8 ab und begründet das auch überzeugend mit Speicher- und Performance-Vorteilen. Allerdings erfordert sein Ansatz sehr genaues Arbeiten – Definition von CHARSET und COLLATION auf Spaltenebene.

 

 

Kategorien: API/Sonstiges  Kommentare 0
Tags: mysql, php, datenbank

Unsicher Programmierung in Extensions ist eine der größten Gefahren bezüglich der Sicherheit einer TYPO3-Installation. Während der Core regelmäßig geprüft wird und Sicherheitsmängel zügig behoben werden, gilt das für viele Extensions nicht. Die wichtigsten EXtensions werden einem regelmäßigen Audit unterworfen, aber bei weitem nicht alle, dazu sind es zuviele. Und Extensions, die ihren Weg nie ins TER finden, werden natürlich auch nie geprüft. 

TYPO3-API für Datenbank-Zugriffe

Generell sollte die TYPO3-API für alle Datenbankzugriffe verwendet werden. Diese sorgt unter anderem für das nötige Quotieren der Eingaben.

Wichtig sind hier vor allem diese beiden Methoden: 

  1. $GLOBALS['TYPO3_DB']->fullQuoteStr($str,$table)
  2. $GLOBALS['TYPO3_DB']->fullQuoteArray($arr,$table,$noQuote=FALSE);

Näheres im Abschnitt Datenbankabfragen.

Einige Methoden der Klasse t3lib_div

Die Methoden der Klassse t3lib_div werden statisch aufgerufen.

  1. // Entfernt gefährlichen Code, Rückgabewert der bereinigte String
  2. t3lib_div::removeXSS($string)
  3. // Gültige E-Mail: Rüpckgabewert true/false
  4. t3lib_div::validEmail($email)
  5. // Testet auf gültige URL, Rückgabewert tru/false
  6. t3lib_div::isValidUrl($sanitizedUrl)

Übergabeparameter

Alle GET- und POST-Variablen sollten über die entsprechenden Funktionen der TYPO3-API angesprochen werden:

  1. // Übernahme der Parameter mit Namensindex der Extension:
  2. $this->piVars['parameter'];
  3. // Wenn das nicht möglich ist, dann so:
  4. t3lib_div::_GP($var);
  5. // oder getrennt nach GET / POST
  6. t3lib_div::_GET($var);
  7. t3lib_div::_POST($var);

Wichtige PHP-Befehle

  1. // Kürzen eines UTF-8-Strings
  2. mb_substr($string,0,50);
  3. // Länge eines UTF-8-Strings prüfen
  4. mb_strlen($string);
  5. // Integer erzwingen
  6. intval($this->piVars['wert']);
  7. // Alle Tags aus einem String entfernen:
  8. strip_tags($string);
  9. // einige Tags erlauben (Achtung: die erlaubten Tags können Parameter enthalten!)
  10. strip_tags($this->piVars['wert'],'<em><i>')
  11. // Tags in Entities umwandeln:
  12. htmlspecialchars($this->piVars['wert'])

Datenfilter – neue Möglichkeiten mit PHP5

Diese Datenfilter werden in TYPO3 seit einigen Versionen ebenfalls eingesetzt. Einige kleine Anwendungsbeispiele:

  1. // Test auf korrekte URL
  2. $url='http://www.lisardo.de';
  3. if ( @filter_var($url,FILTER_VALIDATE_URL) ===FALSE){
  4.     echo$url.' falsch';
  5. }else{
  6.     echo$url.' korrekt';
  7. }
  8. // oder ein Test auf korrekte E-Mail:
  9. if(!filter_var("someone@lisardo...de",FILTER_VALIDATE_EMAIL)){
  10.       echo("E-mail falsch");
  11. }
  12. else{
  13.       echo("E-mail korrekt");
  14. }
  15. // Oder ein Test ob eine POST-Variable namens "mail" eine gültige E-Mail enthält:
  16. if (!filter_input(INPUT_POST,'email',FILTER_VALIDATE_EMAIL)){
  17.       echo"E-Mail ist falsch";
  18. }
  19. else{
  20.       echo"E-Mail korrekt";
  21. }

Ein schöner Überblick über alle Filter mit Beispielcode ist bei w3schools, PHP Filter Functions zu finden. eine genaue Erläuterung im offiziellen PHP-Manual, Datenfilterung

Weiterführende Links

 

 

 

 

 

Besuchen Sie mich auf Google+