Hallo zusammen,
bei der extension-entwicklung stellt sich ja immer wieder die Frage wie
man die externen Eingaben so filtern kann, dass nicht irgendein
Schweinkram drinsteht.
Gibt es da irgendwo eine fertige Klasse die einem da ein bisschen Arbeit
abnimmt oder muss da jeder das Rad selbst erfinden?

Gruß Michael
_______________________________________________
TYPO3-german mailing list
TYPO3-german (AT) lists (DOT) netfielders.de
http://lists.netfielders.de/cgi-bin/...o/typo3-german

Hey,

eine fertige Klasse braucht man eigentlich nicht. Nach Möglichkeit
sollte man halt bei Variablen nur Zahlen übergeben, weil die am
einfachsten zu validieren sind. Wenn man jetzt natürlich ein Formular
hat wird es schwieriger. Da sollte man besten zwei Funktionen drauf
anwenden

In Buch PHP Sicherheit steht, man sollte Benutzereingaben mindestens
immer mit htmlentities(strip_tags($benutzereingabe), ENT_QUOTES);
behandeln.

Kann das Buch nur jedem PHP Entwickler ans Herz legen.

Grüße Philipp

Am 14.12.07 schrieb Michael Stein <der.stein (AT) gmx (DOT) de>:
> Hallo zusammen,
> bei der extension-entwicklung stellt sich ja immer wieder die Frage wie
> man die externen Eingaben so filtern kann, dass nicht irgendein
> Schweinkram drinsteht.
> Gibt es da irgendwo eine fertige Klasse die einem da ein bisschen Arbeit
> abnimmt oder muss da jeder das Rad selbst erfinden?
>
> Gruß Michael
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german (AT) lists (DOT) netfielders.de
> http://lists.netfielders.de/cgi-bin/...o/typo3-german
_______________________________________________
TYPO3-german mailing list
TYPO3-german (AT) lists (DOT) netfielders.de
http://lists.netfielders.de/cgi-bin/...o/typo3-german

Hallo Michael,

am besten schaust Du Dir mal die TYPO3 Coding Guidelines (CGL) an - vor
allem den Abschnitt "Security in your scripts".

http://typo3.org/documentation/docum...e_cgl/current/

Pat



Michael Stein schrieb:
> Hallo zusammen,
> bei der extension-entwicklung stellt sich ja immer wieder die Frage wie
> man die externen Eingaben so filtern kann, dass nicht irgendein
> Schweinkram drinsteht.
> Gibt es da irgendwo eine fertige Klasse die einem da ein bisschen Arbeit
> abnimmt oder muss da jeder das Rad selbst erfinden?
>
> Gruß Michael


--
Patrick Lobacher
http://www.ebner-lobacher.de
_______________________________________________
TYPO3-german mailing list
TYPO3-german (AT) lists (DOT) netfielders.de
http://lists.netfielders.de/cgi-bin/...o/typo3-german

Hi Michael,

vielleicht könnte man das als Basis nehmen:

http://www.webkami.com/programming/p...-xss-1-0-2.php


Gruß,
David

Patrick Lobacher schrieb:
> Hallo Michael,
>
> am besten schaust Du Dir mal die TYPO3 Coding Guidelines (CGL) an - vor
> allem den Abschnitt "Security in your scripts".
>
> http://typo3.org/documentation/docum...e_cgl/current/
>
> Pat
>
>
>
> Michael Stein schrieb:
>> Hallo zusammen,
>> bei der extension-entwicklung stellt sich ja immer wieder die Frage wie
>> man die externen Eingaben so filtern kann, dass nicht irgendein
>> Schweinkram drinsteht.
>> Gibt es da irgendwo eine fertige Klasse die einem da ein bisschen Arbeit
>> abnimmt oder muss da jeder das Rad selbst erfinden?
>>
>> Gruß Michael
>
>
_______________________________________________
TYPO3-german mailing list
TYPO3-german (AT) lists (DOT) netfielders.de
http://lists.netfielders.de/cgi-bin/...o/typo3-german

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Michael,

Am 14.12.2007 21:08 schrieb Michael Stein:
> bei der extension-entwicklung stellt sich ja immer wieder die Frage wie
> man die externen Eingaben so filtern kann, dass nicht irgendein
> Schweinkram drinsteht.
> Gibt es da irgendwo eine fertige Klasse die einem da ein bisschen Arbeit
> abnimmt oder muss da jeder das Rad selbst erfinden?

Am besten schauen wir uns die Themen XSS-Prävention und
SQL-Injection-Prävention getrennt an, da diese beiden
Verwundbarkeitstypen nicht über einen Kamm geschert werden können. Für
SQL Injections gibt's eigentlich, wie Patrick schon geschrieben hat,
ausreichend Hinweise in den Coding-Guidelines.

Was glaube ich in den Guidelines noch nicht drinsteht, ist, dass vor
kurzem in den TYPO3 4.2-Zweig eine Klasse zum Verhindern von XSS
eingeflossen ist: Auf den Impuls von Lars Houmark (Leiter TYPO3 Security
Team) hin hat Michael Stucki eine freie Anti-XSS-PHP-Funktion namens
RemoveXSS (von Travis Puderbaugh) in den Core eingefügt. (Das Ganze ist
nicht in 4.1.x enthalten.)

Michael Stucki schreibt im Changelog Folgendes zur Verwendung:

"Can be used by any script. Usage: $filtered_string =
t3lib_div::removeXSS($input_string);"

Weitere Infos:

http://bugs.typo3.org/view.php?id=6528
http://wiki.typo3.org/index.php/4.2_NEWS.txt
http://typo3.svn.sourceforge.net/vie...hp?view=markup
http://quickwired.com/smallprojects/...r_function.php

Viele Grüße
Henning
Mitglied im TYPO3 Security Team
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHZBJKWAnue6OC6+URAhtMAJ4mixfsw+kv1gsUCiHnXX zhRbJVpwCfW1Bg
7YQMHeaMsgt3SnIzqDsVduc=
=pYWI
-----END PGP SIGNATURE-----
_______________________________________________
TYPO3-german mailing list
TYPO3-german (AT) lists (DOT) netfielders.de
http://lists.netfielders.de/cgi-bin/...o/typo3-german

Hallo zusammen
zuerst danke an alle. Das sind richtig wertvolle Tipps für mich.

Das mit der neuen Funktion in 4.2 ist eine besonders gute Nachricht.
Bzw. ich werde mir auch mal die verwendete Quelle anschauen.

Gruß Michael
_______________________________________________
TYPO3-german mailing list
TYPO3-german (AT) lists (DOT) netfielders.de
http://lists.netfielders.de/cgi-bin/...o/typo3-german