Schnellnavigation:

Kategorien

Schlagwortwolke

api typoscript seo rte extension backend css templavoila facebook sprachen extensions gifbuilder datenbank google fce redaktion php menü hyphen ie6 formular security constants slide webfonts silbentrennung twitter typo3-camp tceform t3c tca tag t3blog sql sprachmenü tcadefaults suchmaschine suchtipps typo3camp
« Juni 2023»
S M T W T F S
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  

Letzte Nachrichten

DSGVO
26.05.2018 18:39
Trackingtools und Datenschutzerklärung
14.03.2014 23:07
1:n und n:1 Relationen in Extbase
06.12.2013 12:04
Erste Abmahnungen wegen Google Analytics
04.10.2013 12:11

Kopieren Sie diesen Link in Ihren RSS-Reader

RSS 0.91Nachrichten
Kommentare
RSS 2.0Nachrichten
Kommentare

In eigener Sache

Peter Linzenkirchner, Lisardo EDV Beratung in Augsburg. Freelance und Partner für Design- und Webagenturen in Augsburg und München. Pixelgenaue Templates, valides HTML, barrierearm. TYPO3-Projekte, Extension-Programmierung und mehr ... 

Zur Zeit wird gefiltert nach: api
Filter zurücksetzen

01September2010

Frontend User Object fe_user

Über GLOBALS[‘TSFE’]->fe_user kann man sich die gesamte Konfiguration der Frontenduser ausgeben lassen:

  1. $GLOBALS['TYPO3_DB']->debugOutput=true;
  2. echot3lib_div::debug($GLOBALS['TSFE']->fe_user);

Ergebnis:

  1. tslib_feuserauth Object
  2. (
  3.     [global_database]=>
  4.     [session_table]=>fe_sessions
  5.     [name]=>fe_typo_user
  6.     [get_name]=>ftu
  7.     [user_table]=>fe_users
  8.     [username_column]=>username
  9.     [userident_column]=>password
  10.     [userid_column]=>uid
  11.     [lastLogin_column]=>lastlogin
  12.     [enablecolumns]=> Array
  13.         (
  14.             [deleted]=>deleted
  15.             [disabled]=>disable
  16.             [starttime]=>starttime
  17.             [endtime]=>endtime
  18.         )
  19.  
  20.     [formfield_uname]=>user
  21.     [formfield_uident]=>pass
  22.     [formfield_chalvalue]=>challenge
  23.     [formfield_status]=>logintype
  24.     [security_level]=>normal
  25.     [auth_include]=>
  26.     [auth_timeout_field]=>6000
  27.     [lifetime]=>0
  28.     [gc_time]=>6000
  29.     [gc_probability]=>1
  30.     [writeStdLog]=>
  31.     [writeAttemptLog]=>
  32.     [sendNoCacheHeaders]=>0
  33.     [getFallBack]=>1
  34.     [hash_length]=>10
  35.     [getMethodEnabled]=>1
  36.     [lockIP]=>2
  37.     [lockHashKeyWords]=>useragent
  38.     [warningEmail]=>
  39.     [warningPeriod]=>3600
  40.     [warningMax]=>3
  41.     [checkPid]=>1
  42.     [checkPid_value]=>0
  43.     [id]=>ed2f34eb0c
  44.     [cookieId]=>ed2f34eb0c
  45.     [loginFailure]=>
  46.     [loginSessionStarted]=>
  47.     [get_URL_ID]=>
  48.     [newSessionID]=>
  49.     [forceSetCookie]=>
  50.     [dontSetCookie]=>
  51.     [challengeStoredInCookie]=>
  52.     [loginType]=>FE
  53.     [svConfig]=>
  54.     [writeDevLog]=>
  55.     [formfield_permanent]=>permalogin
  56.     [usergroup_column]=>usergroup
  57.     [usergroup_table]=>fe_groups
  58.     [groupData]=> Array
  59.         (
  60.             [title]=> Array
  61.                 (
  62.                 )
  63.  
  64.             [uid]=> Array
  65.                 (
  66.                 )
  67.  
  68.             [pid]=> Array
  69.                 (
  70.                 )
  71.  
  72.         )
  73.  
  74.     [TSdataArray]=> Array
  75.         (
  76.             [0]=>
  77.         )
  78.  
  79.     [userTS]=> Array
  80.         (
  81.         )
  82.  
  83.     [userTSUpdated]=>0
  84.     [showHiddenRecords]=>0
  85.     [sesData]=> Array
  86.         (
  87.             [th_mailformplus17]=>
  88.         )
  89.  
  90.     [sesData_change]=>0
  91.     [userData_change]=>0
  92.     [is_permanent]=>1
  93.     [user]=>
  94. )
  95. </pre>|</b><b>|Object:<pre>tslib_feuserauth Object
  96. (
  97.     [global_database]=>
  98.     [session_table]=>fe_sessions
  99.     [name]=>fe_typo_user
  100.     [get_name]=>ftu
  101.     [user_table]=>fe_users
  102.     [username_column]=>username
  103.     [userident_column]=>password
  104.     [userid_column]=>uid
  105.     [lastLogin_column]=>lastlogin
  106.     [enablecolumns]=> Array
  107.         (
  108.             [deleted]=>deleted
  109.             [disabled]=>disable
  110.             [starttime]=>starttime
  111.             [endtime]=>endtime
  112.         )
  113.  
  114.     [formfield_uname]=>user
  115.     [formfield_uident]=>pass
  116.     [formfield_chalvalue]=>challenge
  117.     [formfield_status]=>logintype
  118.     [security_level]=>normal
  119.     [auth_include]=>
  120.     [auth_timeout_field]=>6000
  121.     [lifetime]=>0
  122.     [gc_time]=>6000
  123.     [gc_probability]=>1
  124.     [writeStdLog]=>
  125.     [writeAttemptLog]=>
  126.     [sendNoCacheHeaders]=>0
  127.     [getFallBack]=>1
  128.     [hash_length]=>10
  129.     [getMethodEnabled]=>1
  130.     [lockIP]=>2
  131.     [lockHashKeyWords]=>useragent
  132.     [warningEmail]=>
  133.     [warningPeriod]=>3600
  134.     [warningMax]=>3
  135.     [checkPid]=>1
  136.     [checkPid_value]=>0
  137.     [id]=>ed2f34eb0c
  138.     [cookieId]=>ed2f34eb0c
  139.     [loginFailure]=>
  140.     [loginSessionStarted]=>
  141.     [get_URL_ID]=>
  142.     [newSessionID]=>
  143.     [forceSetCookie]=>
  144.     [dontSetCookie]=>
  145.     [challengeStoredInCookie]=>
  146.     [loginType]=>FE
  147.     [svConfig]=>
  148.     [writeDevLog]=>
  149.     [formfield_permanent]=>permalogin
  150.     [usergroup_column]=>usergroup
  151.     [usergroup_table]=>fe_groups
  152.     [groupData]=> Array
  153.         (
  154.             [title]=> Array
  155.                 (
  156.                 )
  157.  
  158.             [uid]=> Array
  159.                 (
  160.                 )
  161.  
  162.             [pid]=> Array
  163.                 (
  164.                 )
  165.  
  166.         )
  167.  
  168.     [TSdataArray]=> Array
  169.         (
  170.             [0]=>
  171.         )
  172.  
  173.     [userTS]=> Array
  174.         (
  175.         )
  176.  
  177.     [userTSUpdated]=>0
  178.     [showHiddenRecords]=>0
  179.     [sesData]=> Array
  180.         (
  181.             [th_mailformplus17]=>
  182.         )
  183.  
  184.     [sesData_change]=>0
  185.     [userData_change]=>0
  186.     [is_permanent]=>1
  187.     [user]=>
  188. )
  189. </pre>|</b><b>|Object:<pre>tslib_feuserauth Object
  190. (
  191.     [global_database]=>
  192.     [session_table]=>fe_sessions
  193.     [name]=>fe_typo_user
  194.     [get_name]=>ftu
  195.     [user_table]=>fe_users
  196.     [username_column]=>username
  197.     [userident_column]=>password
  198.     [userid_column]=>uid
  199.     [lastLogin_column]=>lastlogin
  200.     [enablecolumns]=> Array
  201.         (
  202.             [deleted]=>deleted
  203.             [disabled]=>disable
  204.             [starttime]=>starttime
  205.             [endtime]=>endtime
  206.         )
  207.  
  208.     [formfield_uname]=>user
  209.     [formfield_uident]=>pass
  210.     [formfield_chalvalue]=>challenge
  211.     [formfield_status]=>logintype
  212.     [security_level]=>normal
  213.     [auth_include]=>
  214.     [auth_timeout_field]=>6000
  215.     [lifetime]=>0
  216.     [gc_time]=>6000
  217.     [gc_probability]=>1
  218.     [writeStdLog]=>
  219.     [writeAttemptLog]=>
  220.     [sendNoCacheHeaders]=>0
  221.     [getFallBack]=>1
  222.     [hash_length]=>10
  223.     [getMethodEnabled]=>1
  224.     [lockIP]=>2
  225.     [lockHashKeyWords]=>useragent
  226.     [warningEmail]=>
  227.     [warningPeriod]=>3600
  228.     [warningMax]=>3
  229.     [checkPid]=>1
  230.     [checkPid_value]=>0
  231.     [id]=>ed2f34eb0c
  232.     [cookieId]=>ed2f34eb0c
  233.     [loginFailure]=>
  234.     [loginSessionStarted]=>
  235.     [get_URL_ID]=>
  236.     [newSessionID]=>
  237.     [forceSetCookie]=>
  238.     [dontSetCookie]=>
  239.     [challengeStoredInCookie]=>
  240.     [loginType]=>FE
  241.     [svConfig]=>
  242.     [writeDevLog]=>
  243.     [formfield_permanent]=>permalogin
  244.     [usergroup_column]=>usergroup
  245.     [usergroup_table]=>fe_groups
  246.     [groupData]=> Array
  247.         (
  248.             [title]=> Array
  249.                 (
  250.                 )
  251.  
  252.             [uid]=> Array
  253.                 (
  254.                 )
  255.  
  256.             [pid]=> Array
  257.                 (
  258.                 )
  259.  
  260.         )
  261.  
  262.     [TSdataArray]=> Array
  263.         (
  264.             [0]=>
  265.         )
  266.  
  267.     [userTS]=> Array
  268.         (
  269.         )
  270.  
  271.     [userTSUpdated]=>0
  272.     [showHiddenRecords]=>0
  273.     [sesData]=> Array
  274.         (
  275.             [th_mailformplus17]=>
  276.         )
  277.  
  278.     [sesData_change]=>0
  279.     [userData_change]=>0
  280.     [is_permanent]=>1
  281.     [user]=>
  282. <p>)</p>

Dabei werden die Daten des eingeloggten Benutzers und seiner Benutzergruppe ausgegeben. Damit kann einfach überprüft werden, ob es sich um einen gültigen Benutzer handelt und ob er der richtigen Gruppe angehört.

Kategorien: API/Extensions  Kommentare 0
Tags: api, fe_user, frontend

Zurück

01September2010

Datei-Links als Referenz anstatt als Kopie in uploads

In eigenen Extensions gibt es eine einfache Möglichkeit zu verhindern, dass beim Einbinden von Dateien für den Download – zum Beispiel aus einem Unterordner von fileadmin – diese Dateien nochmals in den /uploads/-Ordner kopiert werden. Dazu muss in der tca.php der internal_type von file auf file_refence umgestellt werden:

  1. 'file'=> array (       
  2.     'exclude'=>0,    
  3.     'label'=>'LLL:EXT:MyExtension/locallang_db.xml:tx_myExtension.file',       
  4.     'config'=> array (
  5.         'type'=>'group',
  6.         ## hier umstellen von file auf file_refence: ######
  7.         'internal_type'=>'file_reference',
  8.         'allowed'=>'',   
  9.         'disallowed'=>'php,php3',  
  10.         'max_size'=>$GLOBALS['TYPO3_CONF_VARS']['BE']['maxFileSize'],  
  11.         'uploadfolder'=>'uploads/myExtension',
  12.         'size'=>1,   
  13.         'minitems'=>0,
  14.         'maxitems'=>1,
  15.     )
  16. ),

Dadurch wird nicht mehr der reine Dateiname in der Datenbank gespeichert sondern der komplette Pfad auf die Datei. Natürlich muss das bei der weiteren Verarbeitung der Datei auch entsprechend berücksichtigt werden.

Weiterführende Links

 

Kategorien: API/Extensions  Kommentare 1
Tags: tca, file-link, extensions, api

Zurück

01September2010

Datenbankabfragen in Extensions

Datenbankabfragen sollten in Extensions nie über die normalen SQL-Befehle erfolgen. Gründe:

  • die globale Datenbank-Abstraktionsschicht DBAL wird eingbezogen; heisst, die Extension läuft automatisch auch mit anderen Datenbanken als MySQL
  • die Verbindung zur Datenbank muss nicht eigens erstellt und beendet werden
  • die INSERT-Queries führen automatisch ein FullQuote durch (die Mindest-Absicherung gegen SQL-Injection)
  • die verfügbaren Befehle sind zum Teil einfach bequem …

Funktionen aufrufen

Die Klassen müssen nicht initialisiert werden, es reicht, sie über die GLOBALS aufzurufen:

  1. $GLOBALS['TYPO3_DB']->exec_SELECTquery( .... )

Absicherung gegen SQL-Injection

Alle Eingaben, die vom Besucher der Website kommen (also über GET oder POST) müssen vorher abgesichert werden. Das betrifft vor allem die Befehle zum Einfügen in die Datenbank, ausserdem aber auch die Übernahme von Benutzerdaten in die where-Abschnitte der SQL-Abfragen. Auch hier sollten die Typo3-Funktionen benutzt werden, damit die Quotierung für jede Datenbank passend erfolgt. Folgende Funktionen stehen zur Verfügung:

  1. # Quotieren von Zeichenketten
  2. $GLOBALS['TYPO3_DB']->fullQuoteStr($str,$table);

Parameter

  • string: Zeichenkette, die quotiert werden soll
  • string: Tabellenname (daraus entnimmt DBAL die korrekte Quotierungstechnik)

  1. # Quotieren von eindimensionalen Arrays:
  2. $GLOBALS['TYPO3_DB']->fullQuoteArray($arr,$table,$noQuote=FALSE);

Parameter

  • array: eindimensionales oder assoziatives Array mit den Daten
  • string: Tabellenname (daraus entnimmt DBAL die korrekte Quotierungstechnik)
  • string/array: Liste oder Array von Schlüsseln, die nicht quotiert werden sollen. Nur bei assoziativen Datenarrays anwenden!

  1. # kommaseparierte Listen zu Integerlisten umwandeln (über intval() )
  2. $GLOBALS['TYPO3_DB']->cleanIntList($list)

Parameter

  • string: kommaseparierte Liste mit Werten, die Integer sein sollen

  1. # Arraywerte zu Integer umwandeln (über intval() )
  2. $GLOBALS['TYPO3_DB']->cleanIntArray($arr)

Parameter

  • array: Array mit Werten, die Integer sein sollen

Datenbankabfragen

  1. # SELECT-Abfrage
  2. $GLOBALS['TYPO3_DB']->exec_SELECTquery(
  3.       $select_fields,
  4.       $from_table,
  5.       $where_clause,
  6.       $groupBy='',
  7.       $orderBy='',
  8.       $limit=''
  9. )

Parameter

  • string: Liste der Felder oder * für alle Felder
  • string: Tabelle(n). Es gelten die üblichen SQL-Regeln für Aliase
  • string: WHERE-Klausel. Wie in SQL üblich. ACHTUNG: man muss alle GET / POST-Werte hier selbst qotieren! Verwenden Sie $this->fullQuoteStr() – siehe oben. Hier nicht Befehle wie GROUP oder LIMIT verwenden.
  • string: Optionale GROUP-Anweisung
  • string: Optionale ORDER BY-Anweisung
  • string: Optionale LIMIT-Anweisung.

  1. # INSERT-Abfrage
  2. $GLOBALS['TYPO3_DB']->exec_INSERTquery    (
  3.       $table,
  4.       $fields_values,
  5.       $no_quote_fields=FALSE
  6. )

Parameter

  • string: Tabelle
  • array: Feldwerte als array mit key=>value Paaren. Die Werte werden intern quotiert. Typischerweise verwenden Sie ein Array “$insertFields” mit ‘fieldname’=>‘value’ und übergeben es als Argument.
  • string/array: Liste oder Array von Schlüsseln, die nicht quotiert werden sollen; siehe ober bei fullQuoteArray()

  1. # UPDATE-Abfrage
  2. $GLOBALS['TYPO3_DB']->exec_UPDATEquery    (
  3.       $table,
  4.       $where,
  5.       $fields_values,
  6.       $no_quote_fields=FALSE
  7. )

Parameter

  • string: Tabelle
  • string: WHERE-Anweisung, typischerweise “uid=xx”. Achtung: Sie müssen alle GET- oder POST-Parameter hier selbst quoten – siehe oben.
  • array: Feldwerte als array mit key=>value Paaren. Die Werte werden intern quotiert. Typischerweise verwenden Sie ein Array “$insertFields” mit ‘fieldname’=>‘value’ und übergeben es als Argument.
  • string/array: Liste oder Array von Schlüsseln, die nicht quotiert werden sollen; siehe ober bei fullQuoteArray()

  1. # DELETE-Abfrage
  2. $GLOBALS['TYPO3_DB']->exec_DELETEquery($table,$where)

Parameter

  • string Tabelle
  • string WHERE-Anweisung, typischerweise “uid=xx”. Achtung: Sie müssen alle GET- oder POST-Parameter hier selbst quoten – siehe oben.

Spezielle Datenbank-Anweisungen

Die folgende Funktion eignet sich hervorragend zum Auswerten einer n-n Datenverbindung, wie sie zum Beispiel bei der Verwendung von Kategorien anfällt. Bedingung ist allerdings, dass die Verbindung mit einer m_m-Tabelle erfolgt und nicht über ein einzelnes Feld mit kommaseparierter ID-Liste.

  1. # SELECT relational
  2. $GLOBALS['TYPO3_DB']->exec_SELECT_mm_query(
  3.       $select,
  4.       $local_table,
  5.       $mm_table,
  6.       $foreign_table,
  7.       $whereClause='',
  8.       $groupBy='',
  9.       $orderBy='',
  10.       $limit=''
  11. )

Parameter

  • string: Liste der Felder oder * für alle Felder
  • string: Name der lokalen Tabelle
  • string: Name der Relationalen m_m-Tabelle
  • string: Name der fremden, verknüpften Tabelle
  • string: WHERE-Klausel. Wie in SQL üblich. ACHTUNG: man muss alle GET / POST-Werte hier selbst qotieren! Verwenden Sie $this->fullQuoteStr() – siehe oben. Hier nicht Befehle wie GROUP oder LIMIT verwenden. Es muss ein ‘ AND ‘ eingefügt werden.
  • string: Optionale GROUP-Anweisung
  • string: Optionale ORDER BY-Anweisung
  • string: Optionale LIMIT-Anweisung.

Achtung: Viele Feldnamen in Typo3 sind identisch (uid, pid, hidden etc.). Das kann bei der Auswertung zu Problemen führen, da die Felder nicht eindeutig sind! Es ist deshalb sinnvoll, imm select- und für die Tabellennamen mit Aliasen zu arbeiten:

  1. $GLOBALS['TYPO3_DB']->exec_SELECT_mm_query(
  2.       'a.uid as a_uid, b.uid as b_uid',
  3.       'tabelle_1 a',
  4.       'tabelle_m_m',
  5.       'tabelle_2 b',
  6.       $whereClause='',
  7.       $groupBy='',
  8.       $orderBy='',
  9.       $limit=''
  10. )

Ein ganz besondere Funktion ist listQuery(): Sie ermöglicht eine einfache Behandlung von relationalen Verknüpfungen, die nicht über eine dritte m_m-Tabelle laufen sondern über Felder mit kommaseparierten Listen.

  1. $GLOBALS['TYPO3_DB']->listQuery  (
  2.       $field,
  3.       $value,
  4.       $table
  5. )

Das Problem derartiger Verknüpfungen ist, dass die Abfrage über LIKE laufen muss, und dabei zusätzlich unterschieden werden muss, auf welcher Seite des gewünschten Wertes das Komma folgt. Kern der Funktion ist diese Zeile:

  1. $where='('.$field.' LIKE \'%,'.$command.',%\' OR '.$field.' LIKE \''.$command.',%\' OR '.$field.' LIKE \'%,'.$command.'\' OR '.$field.'=\''.$command.'\')';

Parameter

  • string: Feldname, der die kommaseparierte Liste enthält
  • string: Wert, der gefunden werden soll
  • string: Tabelle, in der gesucht wird (für die korrekte Behandlung durch DBAL)

In die gleiche Richtung geht die folgende Funktion, die Srings für die LIKE-Abfrage korrekt für DBAL umsetzt:

  1. $GLOBALS['TYPO3_DB']->escapeStrForLike($str,$table)

WICHTIG: Es gibt eine hervorragende Abkürzung, um die wichtigen einschränkenden Felder in der WHERE-Abfrage automatisch einzuschließen: hidden, deleted, von/bis, Frontenduser etc. Die WHERE-Abrage muss einfach damit erweitert werden:

  1. $this->cObj->enableFields('datenbank')

Also zum Beispiel in der exec_SelectQuery:

  1. # SELECT-Abfrage
  2. $GLOBALS['TYPO3_DB']->exec_SELECTquery(
  3.       $select_fields,
  4.       $from_table,
  5.       $where_clause.$this->cObj->enableFields('datenbank'),
  6.       $groupBy='',
  7.       $orderBy='',
  8.       $limit=''
  9. )

Noch drei weitere Funktionen werden öfter gebraucht:

  1. # Liefert eine Integer zurück mit der Anzahl der betroffenen Datenzeilen, z. B. bei INSERT oder UPDATE
  2. $GLOBALS['TYPO3_DB']->sql_affected_rows( )

  1. # Liefert eine Integer, die uid des zuletzt eingefügten Datensatzes (über INSERT)
  2. $GLOBALS['TYPO3_DB']->sql_insert_id  ( )

  1. # Liefert eine Integer, mit der Anzahl der gefundenen Datensätze
  2. $GLOBALS['TYPO3_DB']->t3lib_DB.sql_num_rows($res)

Parameter

  • pointer: Der Resultpointer einer vorher erfolgten SELECT-Abfrage.

Weiterführende Links

 

Kategorien: API/Extensions  Kommentare 9
Tags: datenbank, sql, api, extensions

Zurück

01September2010

Sichere Extensions
Tipps zum Absichern eigener Extensions

Unsicher Programmierung in Extensions ist eine der größten Gefahren bezüglich der Sicherheit einer TYPO3-Installation. Während der Core regelmäßig geprüft wird und Sicherheitsmängel zügig behoben werden, gilt das für viele Extensions nicht. Die wichtigsten EXtensions werden einem regelmäßigen Audit unterworfen, aber bei weitem nicht alle, dazu sind es zuviele. Und Extensions, die ihren Weg nie ins TER finden, werden natürlich auch nie geprüft. 

TYPO3-API für Datenbank-Zugriffe

Generell sollte die TYPO3-API für alle Datenbankzugriffe verwendet werden. Diese sorgt unter anderem für das nötige Quotieren der Eingaben.

Wichtig sind hier vor allem diese beiden Methoden: 

  1. $GLOBALS['TYPO3_DB']->fullQuoteStr($str,$table)
  2. $GLOBALS['TYPO3_DB']->fullQuoteArray($arr,$table,$noQuote=FALSE);

Näheres im Abschnitt Datenbankabfragen.

Einige Methoden der Klasse t3lib_div

Die Methoden der Klassse t3lib_div werden statisch aufgerufen.

  1. // Entfernt gefährlichen Code, Rückgabewert der bereinigte String
  2. t3lib_div::removeXSS($string)
  3. // Gültige E-Mail: Rüpckgabewert true/false
  4. t3lib_div::validEmail($email)
  5. // Testet auf gültige URL, Rückgabewert tru/false
  6. t3lib_div::isValidUrl($sanitizedUrl)

Übergabeparameter

Alle GET- und POST-Variablen sollten über die entsprechenden Funktionen der TYPO3-API angesprochen werden:

  1. // Übernahme der Parameter mit Namensindex der Extension:
  2. $this->piVars['parameter'];
  3. // Wenn das nicht möglich ist, dann so:
  4. t3lib_div::_GP($var);
  5. // oder getrennt nach GET / POST
  6. t3lib_div::_GET($var);
  7. t3lib_div::_POST($var);

Wichtige PHP-Befehle

  1. // Kürzen eines UTF-8-Strings
  2. mb_substr($string,0,50);
  3. // Länge eines UTF-8-Strings prüfen
  4. mb_strlen($string);
  5. // Integer erzwingen
  6. intval($this->piVars['wert']);
  7. // Alle Tags aus einem String entfernen:
  8. strip_tags($string);
  9. // einige Tags erlauben (Achtung: die erlaubten Tags können Parameter enthalten!)
  10. strip_tags($this->piVars['wert'],'<em><i>')
  11. // Tags in Entities umwandeln:
  12. htmlspecialchars($this->piVars['wert'])

Datenfilter – neue Möglichkeiten mit PHP5

Diese Datenfilter werden in TYPO3 seit einigen Versionen ebenfalls eingesetzt. Einige kleine Anwendungsbeispiele:

  1. // Test auf korrekte URL
  2. $url='http://www.lisardo.de';
  3. if ( @filter_var($url,FILTER_VALIDATE_URL) ===FALSE){
  4.     echo$url.' falsch';
  5. }else{
  6.     echo$url.' korrekt';
  7. }
  8. // oder ein Test auf korrekte E-Mail:
  9. if(!filter_var("someone@lisardo...de",FILTER_VALIDATE_EMAIL)){
  10.       echo("E-mail falsch");
  11. }
  12. else{
  13.       echo("E-mail korrekt");
  14. }
  15. // Oder ein Test ob eine POST-Variable namens "mail" eine gültige E-Mail enthält:
  16. if (!filter_input(INPUT_POST,'email',FILTER_VALIDATE_EMAIL)){
  17.       echo"E-Mail ist falsch";
  18. }
  19. else{
  20.       echo"E-Mail korrekt";
  21. }

Ein schöner Überblick über alle Filter mit Beispielcode ist bei w3schools, PHP Filter Functions zu finden. eine genaue Erläuterung im offiziellen PHP-Manual, Datenfilterung

Weiterführende Links

 

 

 

 

 

Kategorien: API/Extensions  Kommentare 0
Tags: security, extensions, api, datenbank

Zurück

31August2010

Konfiguration einer Extension abfragen

Eine Extension kann Konfigurationsvariablen enthalten, die im Extensions-Manager eingestellt werden können/müssen. Dazu muss zunächste eine Datei mit dem Namen ext_conf_template.txt in der Root der Extension erstellt werden. Darin werden die Auswahl- bzw. Einstellungsmöglichkeiten definiert (hier ein Beispiel aus der captcha-Extension):

  1. # cat=basic; type=boolean; label=Use TTF: When set the captcha will get generated using TTF font rendering functions which will result in much more readable captchas
  2. useTTF=0
  3.  
  4. # cat=basic; type=integer; label=Image width: The width of the captcha image
  5. imgWidth=95

Diese Variablen werden im Extensions-Manager bei der Installation der Extension abgefragt und können dort eingestellt werden. Sie werden automatisch serialisiert in der localconf.php der TYPO3-Installation abgelegt.

Innerhalb einer Frontend-Extension kann nur auf diese Variablen so zugegriffen werden:

  1. $_EXTCONF=unserialize($_EXTCONF);
  2.  
  3. $useTTF=$_EXTCONF['useTTF'];
  4.  
  5. // usw.
  6.  

Von ausserhalb der Extension – wie das z. B. in der captcha.php der captcha-Extension nötig ist, kann so zugeriffen werden:

  1. // Pfade einstellung und localcon.php laden
  2. define('TYPO3_MODE','FE');
  3. define(PATH_this,dirname(__FILE__).'/');
  4. define(PATH_site,dirname(dirname(dirname(dirname(dirname(__FILE__))))).'/');
  5. define(PATH_typo3conf,PATH_site.'typo3conf/');
  6. require_once(PATH_typo3conf.'localconf.php');
  7. //
  8. $config=unserialize($TYPO3_CONF_VARS['EXT']['extConf']['captcha']);

Die captcha-Extension wirft in manchen Installationen folgenden Fehler:

TYPO3 Fatal Error: Extension key “lang” was NOT loaded! (t3lib_extMgm::extPath)

Das liegt daran, dass die captcha.php versucht, das halbe Backend nachzuladen, was aber überhaupt nicht erforderlich ist. Der einfachste Fix geht so, dass die ersten Zeilen der Extension, in denen verschiedene Klassen des Backends nachgeladen werden, durch andere ersetzt werden.

Diese Zeilen:

  1. define(PATH_t3lib,PATH_site.'t3lib/');
  2. define(PATH_tslib,PATH_site.'typo3/sysext/cms/tslib/');
  3. require_once(PATH_t3lib.'class.t3lib_div.php');
  4. require_once(PATH_t3lib.'class.t3lib_extmgm.php');
  5. require_once(PATH_t3lib.'config_default.php');

ersetzen durch diese:

  1. define(PATH_typo3conf,PATH_site.'typo3conf/');
  2. require_once(PATH_typo3conf.'localconf.php');
  3. $GLOBALS['TYPO3_CONF_VARS']['EXTCONF']['captcha']=
  4.       unserialize($TYPO3_CONF_VARS['EXT']['extConf']['captcha']);

Damit wird das Nachladen vieler Klassen umgangen und die Konfiguration direkt aus der localconf.php übernommen.

 

 

Kategorien: API/Extensions  Kommentare 1
Tags: config, api, extension, captcha

Zurück