"Правильная" организация аякса на typo3

[anweb]

Есть ли отличия при обращении к базе данных при использовании eID ? При таком раскладе не работает:

PHP код:

<?php
if (!defined ('PATH_typo3conf')) die ('Could not access this script directly!');
tslib_eidtools::connectDB();
$a1 = t3lib_div::_POST('a1');
$a2 = t3lib_div::_POST('a2');
$res = $GLOBALS['TYPO3_DB']->exec_SELECTquery('*','my_table','a1='.$a1);
$tRows = array();
$this->internal['currentRow'] = '';
while ($this->internal['currentRow'] = $GLOBALS['TYPO3_DB']->sql_fetch_assoc($res)) {
    $tRows[] = $this->internal['currentRow'][$a2];
}
$content = implode('',$tRows);
echo $content;
?>

[Dmitry Dulepov]

Цитата:

Сообщение от anweb

PHP код:

<?php
$a1 = t3lib_div::_POST('a1');
$a2 = t3lib_div::_POST('a2');
$res = $GLOBALS['TYPO3_DB']->exec_SELECTquery('*','my_table','a1='.$a1);

Да у вас SQL-инъекция, батенька...

[anweb]

Спасибо, что подсказали, Дмитрий! А как правильно то написать?

[anweb]

Заработало вот так:

PHP код:

<?php
if (!defined ('PATH_typo3conf')) die ('Could not access this script directly!');
tslib_eidtools::connectDB();
$a1 = '"'.t3lib_div::_POST('a1').'"';
$a2 = t3lib_div::_POST('a2');
$query = 'SELECT * FROM my_table WHERE a1='.$a1;
$res = mysql_query($query);
while ($rows = mysql_fetch_assoc($res)) {
    echo $rows[$a2];
}
?>

На самом ли деле здесь есть проблема с безопасностью? Как её решить?

[Dmitry Dulepov]

К сожалению, есть. Передаете параметр как:

Код:

1" UNION SELECT BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM fe_users --

и ваш сервер умер надолго. Конечно, надо подобрать количество параметров в этом запросе таким, как число колонок в вашей таблице, но это совсем не сложно.

Правильно так:

PHP код:

$a1 = t3lib_div::_POST('a1'); 
$a2 = t3lib_div::_POST('a2'); 
$query = 'SELECT * FROM my_table WHERE a1=' . $GLOBALS['TYPO3_DB']->fullQuoteStr($a1, 'my_table'); 


[anweb]

Спасибо большое, Дмитрий!