Hi,
ich habe grad mal geschaut wie ich das in einer meinen Erweiterungen benutz habe und denke, als Erweiterungsentwickler kann man sich zumindest auf diese Art aktuell absichern.
Allerdings gibt es wohl Provider, welche die PHP mcrypt Erweiterung nicht installiert haben. (wird von der Encryption Klasse verwendet)PHP-Code:
#Serialisieren, verschlüsseln mit dem Encryption Key der Contao Installation, Base64 kodieren um Sonderzeichen zu killen, da bei mir als GET Parameter verwendet
$strEnrcypt = base64_encode( Encryption::encrypt( serialize( array( $title,$row['id'] ) ) ) );
#das ganze wieder rückwärts
$arrDecrypt = deserialize( Encryption::decrypt( base64_decode( Input::get('crcst') ) ) );
Dafür habe ich dann noch ein Abfrage eingebaut und verwende eine eigene Klasse für die Verschlüssung, auch mit hilfe des Encryption Key der Contao Installation.
Andere Ideen? Dann her damit. Obige Lösung ist wie gesagt schon vor der Entdeckung der Lücke entstanden.
Lesezeichen