Wie die Security Bug Schnitzeljagt Ende letzten Jahres gezeigt hat, gibt es wohl noch einige Extensions im TER mit mehr oder weniger großen Sicherheitsproblemen.
Das häufigste Problem sind vermutlich ungefilterte User Eingaben (GET oder POST Parameter).
Die Extension wt_doorman hilft beim Bereinigen der empfangenen piVars.
Im Prinzip wird nach Einbinden der Doorman Extension der Klasse das komplette piVars Array übergeben und gefiltert empfangen. Hierbei kann man einstellen welcher Parameter wie gefiltert werden soll.
Diese Filtermöglichkeiten gibt es aktuell bei wt_doorman:
- Wert in Zahl wandeln (Integer)
- Wert in Text wandeln
- Wert in Zahlen und Zeichen wandeln
- Wert in Zahlen und Zeichen wandeln (mit eigener Definition)
- Werte vorgeben
In der Doorman Dokumentation gibt es ein ausführliches Beispiel, wie man wt_doorman zusammen mit seiner eigenen Extension einbinden kann.
Grüße im neuen Jahr, Alex
Marcus am 06. Januar 2009 um 19:41
