Erweiterung Externe Variabeln - Verständnisfrage

[Galikor]

Hallo Community,

hab da mal nach Frage für euer Verständniss.

Szenario:
Mitglieder melden sich im Frontend an, werden auf eine geschütze Seite weitergeleitet. Dort haben sie eine Übersicht über verschiedene Aufträge.
Nun möchte ich wenn sie einen dieser Aufträge anklicken, sie auf eine Seite weitergeleitet werden und sie dort diesen Auftrag bearbeiten können.

Jeder Auftrag hat eine eindeutige ID. Nun möchte ich mit der Erweiterung "Externe Variablen" diese ID per Post-Methode weiterleiten, um eben nur genau diesen Auftrag anzeigen zu lassen, weil ich eben diese ID als Wert im Bedingungsfeld benötige.

Nun steht bei der Erweiterung was von XSS-Angriffen und Gefahr und Aufpassen. Seht ihr da eine Gefahr oder habt eventuel eine andere Idee. Mir fällt zumindest nichtsmehr ein.

Grüsse Christopher

PS: Diese Erweiterung meine ich:
https://contao.org/erweiterungsliste...000039.de.html

[Antipitch]

Hi Galikor,
grundsätzlich sollte man niemals irgendwelche Usereingaben ungeprüft weiterverarbeiten. Insbesondere gilt das für Daten, die per $_GET übermittelt werden. strip_tags bzw. htmlspecialchars() sind das miniminiMinimum. Mehr Infos findest z.B. hier.

Typolight nimmt von sich aus für alle Standardvorgänge (Formulare etc.) umfangreiche Prüfungen vor, die erwähnte Erweiterung umgeht dies allerdings potentiell.. D.h. falls du vorhast, in einem eigenen Skript auf die Variable zuzugreifen, solltest du dort unbedingt auch eine eigene Prüfung durchführen.

Für eine "andere Idee" müsstest du erstmal genauer erzählen, wie du den von dir beschriebenen Ablauf denn bisher technisch realisiert hast.

cheers
Antipitch