Hi,
kann mir jemand sagen, ob folgender Code gefährlich ist:
test = CONTENT
test {
table = tt_content
select.selectFields = *
select.where = 1=1
select.andWhere.insertData = 1
select.andWhere (
tt_content.pid = {GPvar:test}
)
}
Ist meine Seite dann über den Parameter test Angreifbar?
Geht der Inhalt von "andWhere" direkt in das SQL für die Datenbank?
Und wenn ja, gibt es eine Möglichkeit den Inhalt via mysql_real_escape oder
ähnlichem zu behandeln? Muss ich da ne User-Funktion schreiben?
danke & gruß,
martin
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.netfielders.de
http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
