XML-Daten über PHP einlesen

**ptra** · 18.03.2012, 15:36

Hallo!

Ich möchte eine Speisekarte (Daten stehen in einer XML-Datei) per PHP einlesen.

Über ein Inhaltselement kann ich PHP-Code als Include im Artikel einer Seite einbinden. Die dazugehörigen Dateien (muster.php, muster.xml, muster.css) stehen im Ordner templates.

Jetzt bin ich mir nicht sicher über die Pfade bei der Verlinkung, denn leider funktioniert das im Contao so, wie ich mir das gedacht habe, nicht. Möglicherweise weiss jemand Rat oder hat einen grundsätzlichen Tipp.

Gruß. Petra ;-)

**aadursun** · 18.03.2012, 17:31

Die Frage ist sehr berechtigt; ich mache mir auch Gedanken, wie ich aus einem Formular eine XML Datei zur Weiterverarbeitung als OUTPUT erstellen kann;

Jedoch, würde mich die Antwort auf diese Frage auch sehr interessieren.

aadursun

**ptra** · 18.03.2012, 17:42

{{file::kamin/speisekarte.php}}

damit habe ich die Datei, die die XML lädt und den HTML-Code erzeugt im Inhaltselement der Seite eingebunden.

Gruß. Petra ;-)

**aadursun** · 18.03.2012, 21:20

Hallo,

hast du eine URL, wo ich mir das anschauen kann.

Gruß

aadursun

**rezico** · 18.03.2012, 22:07

Hey Leo, also eine Anleitung würde mich schon einmal interessieren! Vielen Dank.

**ptra** · 19.03.2012, 07:27

Hallo Leo,

das war die erste Möglichkeit, die ich beim Stöbern gefunden hatte. Ich bin erst seit kurzem Contao-Fan. Also vielen Dank für deine Hilfe. Werde es so ausprobieren.

Gruß. Petra ;-)

**aadursun** · 19.03.2012, 12:40

Leo,

kannst du uns bitte deine Anleitung posten?

Gruß

aadursun

**Bandyt** · 19.03.2012, 13:00

Hier grundsätzlich zur Contao-Programmierung:
http://de.contaowiki.org/Kategorie:T...on-Entwicklung

Dann erstellt ihr ein Modul oder Content Element. Dort in der compile-Funktion lest ihr die XML-Datei aus, gebt die Infos an das Template weiter und kümmert euch dort um die Ausgabe...

**webster** · 19.03.2012, 13:11

Zitat von leo.unglaub

STOP!
Es ist defakto verboten mit dem file Insert Tag zu arbeiten. Das macht man nur, wenn man sich eine Sicherheitslücke einbauen will. Keine Ahnung warum das überhaupt noch in Contao drin ist.
[...]

Hallo Leo,
kannst Du das vielleicht näher erläutern oder einen Link zu einem Beitrag posten, wo das genauer erörtert wird? Welche Lücken tun sich hier auf?

Vielen Dank!

webster

**schman** · 19.03.2012, 13:18

Nunja man kann somit jegliches PHP Skript einbinden, und wenn man dann ein schlecht programmiertes Skript einbindet, wo zum Beispiel GET/POST Parameter nicht filtern wären XSS möglich, wenn dieses Skript dann auch noch auf DB Ebene arbeitet könnte es leicht(er) passieren, dass zB das Admin Passwort ausgelesen werden kann etc.

**webster** · 19.03.2012, 21:47

Sorry, da das hier eigentlich Off-Topic ist, aber aus gegebenem Anlass hake ich weiter nach. Wenn es irgendwo eine detaillierte Diskussion zum Thema {{file::}} gibt, so möge mich bitte jemand darauf hinweisen, ich konnte leider nichts dementsprechendes finden.

Was passiert wenn ich "unsauber programmierte" Skripte in einem eigenen Modul verwende? Doch genau das gleiche wie beim Einbinden per {{file::}}, oder? Vielleicht habe ich das noch nicht ganz durchschaut, aber meiner Meinung nach kann ich auch in einer über das {{file::}} Inserttag eigebundenen Datei "sauber programmieren" und die Methoden des Contao Frameworks verwenden. Wo befindet sich nun die Sicherheitslücke? Gibt es da etwa Möglichkeiten, über das FE etwas zu manipulieren? Oder können Redakteure das evtl. für eigene bösartige Zwecke "ausnutzen" (was bei meinem konkreten Projekt nicht in Frage käme, hier gibt es nur "mich" als Admin).

PS: das Admin-Passwort werde ich sicher nicht ohne sehr viel Aufwand im Klartext ausgegeben bekommen bei einseitiger Verschlüsselung.

**fiedsch** · 22.03.2012, 05:34

Hallo Leo,

mit der gleichen Argumentation darf ich aber Templates auch nicht editierbar machen. Da kann ich ja auch beliebigen PHP-Code reinschreiben ...

**fiedsch** · 22.03.2012, 18:01

Mir ging es auch nur darum, daß das Thema Sicherheit mit dem Entfernen von {{file::}} nicht behoben ist. Ein simples Modul ist schnell gestrickt und da hat man wie Du beschreibst auch gleich "das ganze Paket".

**fiedsch** · 22.03.2012, 18:26

Ein fremdes Skript binde ich sowieso nicht ein -- zumindest nicht, ohne es gelesen und verstanden zu haben. Und wenn jemand fremden Code einfach übernimmt, dann ist es m.E. relativ egal wie. Ob per file:: oder per "blindem" copy/paste in Modulcode.

Mein Punkt war der, daß ich die Aussage zu file so verstanden hatte, daß dies gefährlich sei, weil jeder (böse) Backenduser so Code einaschleusen könne. Da dies mit einem editierten Template gleichermaßen geht, sehe ich kein *zusätzliches* Problem mit file.