Sicherheit bei variablen über GET

[manolo]

Hallo zusammen,

nochmal eine Frage an alle, die sich mit der internen Realisierung gut auskennen:
Wenn ich mit sowas arbeite

Code: Alles auswählen

<we:setVar to="global" nameto="cat_id" from="get" namefrom="id" comment="$_GET['id'] enthält Kat-ID für das gewählte Objekt" />

kann ich dann davon ausgehen, das WE den Inhalt von $_GET['id'] schon auf "Schadcode" untersucht hat?
Ich möchte cat_id später als Kriterium in eine Listview von Objekten geben, und da ist das natürlich ein Thema.

Weiß das jemand von Euch?

[mokraemer]

Kurze Antwort: nein.
Lange Antwort: Es hängt ja ziemlich davon ab, was die Variable enthält bzw. enthalten soll(te) und was du mit den übergebenen Daten vor hast. Wenn es wie hier eine ID ist und du die Daten danach einem WE-Tag übergibst, sollte sich das Tag darum kümmern - und gerade IDs werden immer in Zahlen gewandelt.

was ich vergessen hatte: du kannst derzeit mit dem Tag nur Tags über striptags="true" entfernen

[ThomasGoebe]

Hallo manolo,

obwohl bisher webEdition nichts mit den Daten macht, haben wir allerdings in der Diskussion, einfache Filter in den div. we:var / we:setVar Tags zur Verfügung zu stellen.

Das Ganze ist in eine aktuelle interne Diskussion um die weitere Absicherung des Systems auch und besonders mit Blick auf die Unterstützung von Administratoren und Template Entwicklern bei der Absicherung Ihrer Programmierung eingebettet.

Da dies eine Menge Themenbereiche betrifft (u.a. auch die Kundenverwaltung etc.) wird es wohl kurzfristig keine Ergebnisse geben, aber wir sind da dran.

[manolo]

Vielen Dank für Eure Hinweise. Ich werde das berücksichtigen!