deserialize Verwendung - so mach ich das sicher bei mir
Hi,
ich habe grad mal geschaut wie ich das in einer meinen Erweiterungen benutz habe und denke, als Erweiterungsentwickler kann man sich zumindest auf diese Art aktuell absichern.
PHP-Code:
#Serialisieren, verschlüsseln mit dem Encryption Key der Contao Installation, Base64 kodieren um Sonderzeichen zu killen, da bei mir als GET Parameter verwendet
$strEnrcypt = base64_encode( Encryption::encrypt( serialize( array( $title,$row['id'] ) ) ) );
#das ganze wieder rückwärts
$arrDecrypt = deserialize( Encryption::decrypt( base64_decode( Input::get('crcst') ) ) );
Allerdings gibt es wohl Provider, welche die PHP mcrypt Erweiterung nicht installiert haben. (wird von der Encryption Klasse verwendet)
Dafür habe ich dann noch ein Abfrage eingebaut und verwende eine eigene Klasse für die Verschlüssung, auch mit hilfe des Encryption Key der Contao Installation.
Andere Ideen? Dann her damit. Obige Lösung ist wie gesagt schon vor der Entdeckung der Lücke entstanden.