dimal
14.09.2009, 20:30
Запутался в простом вопросе, поиск не помогает.
Есть страница, содержимое которой зависит от дополнительного параметра (аналогично результатам поиска - но это не поиск!).
На предыдущей странице, формируются несколько линков вида "?id=alias&p=text1", зависящих от контента.
На самой странице происходит выборка, например из таблицы юзеров, с использованием этого параметра: table = fe_users
select.pidInList = 32
// select.where = title='GPvar:p'
select.andWhere.data = GPvar:p
select.andWhere.wrap = title='|'
Здесь в поле title загнана профессия. Далее выбранные элементы рендерятся как мне надо.
И всё работает, но...
1. Мне пришлось сменить в рендеринге COA на COA_INT, поскольку иначе Typo3 игнорировала разные значения параметра и брала страницу из кеша. Как сообщить системе, что этот параметр нужен (только для данной страницы)?
2. Данные, фактически, без обработки идут в SQL, что создаёт опасность взлома через SQL-injection. Есть ли в Typo3 стандартные средства проверки текстовых параметров? Или единственный вариант защиты - использование числовых параметров?
Я пытался, например, вставить в таблицу средствами kikstarter поле prof в виде селектора (т.е. перечисление возможных значений), но размер списка селектора при этом жёстко ограничен - максимум 20, а мне надо больше вариантов (сейчас 36). Вот и пришлось использовать текстовое поле...
Кто-нибудь может подсказать другое, более безопасное и притом не слишком сложное решение?
Есть страница, содержимое которой зависит от дополнительного параметра (аналогично результатам поиска - но это не поиск!).
На предыдущей странице, формируются несколько линков вида "?id=alias&p=text1", зависящих от контента.
На самой странице происходит выборка, например из таблицы юзеров, с использованием этого параметра: table = fe_users
select.pidInList = 32
// select.where = title='GPvar:p'
select.andWhere.data = GPvar:p
select.andWhere.wrap = title='|'
Здесь в поле title загнана профессия. Далее выбранные элементы рендерятся как мне надо.
И всё работает, но...
1. Мне пришлось сменить в рендеринге COA на COA_INT, поскольку иначе Typo3 игнорировала разные значения параметра и брала страницу из кеша. Как сообщить системе, что этот параметр нужен (только для данной страницы)?
2. Данные, фактически, без обработки идут в SQL, что создаёт опасность взлома через SQL-injection. Есть ли в Typo3 стандартные средства проверки текстовых параметров? Или единственный вариант защиты - использование числовых параметров?
Я пытался, например, вставить в таблицу средствами kikstarter поле prof в виде селектора (т.е. перечисление возможных значений), но размер списка селектора при этом жёстко ограничен - максимум 20, а мне надо больше вариантов (сейчас 36). Вот и пришлось использовать текстовое поле...
Кто-нибудь может подсказать другое, более безопасное и притом не слишком сложное решение?