Das Dokument behandelt Sicherheitsaspekte bei der Programmierung von TYPO3-Extensions, insbesondere im Hinblick auf SQL-Injection und Cross-Site Scripting (XSS). Es werden Filtermethoden für Benutzereingaben vorgestellt und Beispiele gegeben, wie unsichere Erweiterungen zu Datenverlust und rechtlichen Problemen führen können. Zudem werden Links zu weiteren Ressourcen und Tutorials zu Sicherheitsfragen bereitgestellt.

1. Du kommst hier nicht rein! Sicher programmieren

2. Sicher – warum?Live Beispiele in echten T3 ExtensionsSQL InjectionXSS (Cross Site Script)Filtern der UsereingabenVorstellung von wt_doormanAllgemeine Links zum Thema

3. Sicher – Warum?

4. Es ist kein Problem eine unsichere Extension einzusetzen… so lange nichts passiert!

5. Worstcase für die Agentur:DatenverlustUnmut des KundenZeitverlustGeldverlustMögliche SchadensersatzforderungenMögliche Folgeschäden

6. Beispiele aus dem TER

7. SQL injection

8. Cross Site Scripting

9. Filtern der Usereingaben

10. Umwandlung in Integer$int = intval($string);Findet Einsatz vorwiegend bei Datenbank Aktionen (z.B. Zeige Datensatz mit uid = intval($uid) )Bsp: „xxx“ zu 0

11. „33“ zu 33String bei Datenbankaktionen$string = $GLOBALS[‘TYPO3_DB‘]->fullQuoteStr($string);Findet Einsatz vorwiegend bei Datenbank Aktionen (z.B. Zeige Datensatz mit wert = „Usereingabe“)Bsp: „x‘xx“ zu „x\‘xx“

12. „3“3“ zu „3\“3“Ausgabe im FE$string = htmlentities($string);Ausgabe von Text (auch in HTML) – Wandlung der Sonderzeichen in ASCII CodeBsp: „xßxx“ zu „xßxx“

13. „3‘>3“ zu „3'>3“Weitere Funktionent3lib_div::removeXSS()strip_tags() (kein umfassender Schutz!)tslib_cObj::removeBadHTML()Addslashes() Bzw. t3lib_div::addSlashesOnArray()

14. wt_doorman

15. Nutzung zur Filterung sämtlicher GET und POST Parameter einer TYPO3 Installation

16. Nutzung in eigener Extension

17. wt_directory

18. wt_galleryint, definedvalues, text, alphanum, htmlentities

20. Allgemeine LinksZum Thema