Schnellnavigation:

Kategorien

« März 2024»
S M T W T F S
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            

Letzte Nachrichten

DSGVO
26.05.2018 18:39
Trackingtools und Datenschutzerklärung
14.03.2014 23:07
1:n und n:1 Relationen in Extbase
06.12.2013 12:04
Erste Abmahnungen wegen Google Analytics
04.10.2013 12:11

Kopieren Sie diesen Link in Ihren RSS-Reader

RSS 0.91Nachrichten
RSS 2.0Nachrichten

In eigener Sache

Peter Linzenkirchner, Lisardo EDV Beratung in Augsburg. Freelance und Partner für Design- und Webagenturen in Augsburg und München. Pixelgenaue Templates, valides HTML, barrierearm. TYPO3-Projekte, Extension-Programmierung und mehr ... 

Zur Zeit wird gefiltert nach: security
Filter zurücksetzen

Martin Sauter hat eine neue Fassung seiner »TYPO3 Security Checklist« online gestellt (Version 0.9.3). Auf 24 Seiten listet er viele Tipps auf, wie eine TYPO3-Installation gegen Angriffe abgesichert werden kann. Nicht alles halte ich für praktikabel, die meisten Tipps und Hinweise sind allerdings unbedingt zu beherzigen. Trotz des englischen Titels ist das PDF übrigens in Deutsch abgefasst. 

Hier gehts zu seiner Download-Seite mit dem PDF und das hier ist der direkte Download-Link (700 KB). 

Kategorien: Developer  Kommentare 0
Tags: security

Unsicher Programmierung in Extensions ist eine der größten Gefahren bezüglich der Sicherheit einer TYPO3-Installation. Während der Core regelmäßig geprüft wird und Sicherheitsmängel zügig behoben werden, gilt das für viele Extensions nicht. Die wichtigsten EXtensions werden einem regelmäßigen Audit unterworfen, aber bei weitem nicht alle, dazu sind es zuviele. Und Extensions, die ihren Weg nie ins TER finden, werden natürlich auch nie geprüft. 

TYPO3-API für Datenbank-Zugriffe

Generell sollte die TYPO3-API für alle Datenbankzugriffe verwendet werden. Diese sorgt unter anderem für das nötige Quotieren der Eingaben.

Wichtig sind hier vor allem diese beiden Methoden: 

  1. $GLOBALS['TYPO3_DB']->fullQuoteStr($str,$table)
  2. $GLOBALS['TYPO3_DB']->fullQuoteArray($arr,$table,$noQuote=FALSE);

Näheres im Abschnitt Datenbankabfragen.

Einige Methoden der Klasse t3lib_div

Die Methoden der Klassse t3lib_div werden statisch aufgerufen.

  1. // Entfernt gefährlichen Code, Rückgabewert der bereinigte String
  2. t3lib_div::removeXSS($string)
  3. // Gültige E-Mail: Rüpckgabewert true/false
  4. t3lib_div::validEmail($email)
  5. // Testet auf gültige URL, Rückgabewert tru/false
  6. t3lib_div::isValidUrl($sanitizedUrl)

Übergabeparameter

Alle GET- und POST-Variablen sollten über die entsprechenden Funktionen der TYPO3-API angesprochen werden:

  1. // Übernahme der Parameter mit Namensindex der Extension:
  2. $this->piVars['parameter'];
  3. // Wenn das nicht möglich ist, dann so:
  4. t3lib_div::_GP($var);
  5. // oder getrennt nach GET / POST
  6. t3lib_div::_GET($var);
  7. t3lib_div::_POST($var);

Wichtige PHP-Befehle

  1. // Kürzen eines UTF-8-Strings
  2. mb_substr($string,0,50);
  3. // Länge eines UTF-8-Strings prüfen
  4. mb_strlen($string);
  5. // Integer erzwingen
  6. intval($this->piVars['wert']);
  7. // Alle Tags aus einem String entfernen:
  8. strip_tags($string);
  9. // einige Tags erlauben (Achtung: die erlaubten Tags können Parameter enthalten!)
  10. strip_tags($this->piVars['wert'],'<em><i>')
  11. // Tags in Entities umwandeln:
  12. htmlspecialchars($this->piVars['wert'])

Datenfilter – neue Möglichkeiten mit PHP5

Diese Datenfilter werden in TYPO3 seit einigen Versionen ebenfalls eingesetzt. Einige kleine Anwendungsbeispiele:

  1. // Test auf korrekte URL
  2. $url='http://www.lisardo.de';
  3. if ( @filter_var($url,FILTER_VALIDATE_URL) ===FALSE){
  4.     echo$url.' falsch';
  5. }else{
  6.     echo$url.' korrekt';
  7. }
  8. // oder ein Test auf korrekte E-Mail:
  9. if(!filter_var("someone@lisardo...de",FILTER_VALIDATE_EMAIL)){
  10.       echo("E-mail falsch");
  11. }
  12. else{
  13.       echo("E-mail korrekt");
  14. }
  15. // Oder ein Test ob eine POST-Variable namens "mail" eine gültige E-Mail enthält:
  16. if (!filter_input(INPUT_POST,'email',FILTER_VALIDATE_EMAIL)){
  17.       echo"E-Mail ist falsch";
  18. }
  19. else{
  20.       echo"E-Mail korrekt";
  21. }

Ein schöner Überblick über alle Filter mit Beispielcode ist bei w3schools, PHP Filter Functions zu finden. eine genaue Erläuterung im offiziellen PHP-Manual, Datenfilterung

Weiterführende Links