Liebe Community
Die Frage ist vermutlich für Viele hier trivial, ich bin aber gerade unsicher:
Auf meiner Seite wird via einen ajax-request ein PHP-Script (siehe unten) ausgeführt, welches Daten aus einem json ausgibt. Der Request beinhaltet einige Params, die im PHP-Script verarbeitet werden (sieht dann bspw. so aus: "get_xref.php?sr=954.1&art_ref=art_17&lang=de" ). Das PHP-Script (i.e. "get_xref.php") ist im "files"-Verzeichnis der Contao-Installation abgelegt (das Script kann insofern von jedem mit beliebigen Werten ausgeführt werden).
Das PHP-Script sieht testweise aktuell so aus:
PHP-Code:
<?php
$json = file_get_contents("table_xref.json"); // Read the JSON file
$data = json_decode($json,true); // Decode the JSON file
$sr = $_GET['sr'];
$art_ref = $_GET['art_ref'];
$lang = $_GET['lang'];
echo $sr;
echo $art_ref;
echo $lang;
// Display data (debug only)
echo "<pre>";
print_r($data[$sr][$art_ref]);
echo "</pre>";
Meine Frage ist nun: Ist meine Bearbeitung bzw. Ausgabe der $_GET Variablen auf diese Weise sicher, heisst, Contao lässt hier irgendwann bei der Ausgabe oder beim Parsen "htmlspecialchars" (oder sowas) drüberlaufen, oder muss ich die sichere Ausgabe selber vorsehen? Und falls Zweitens: Gibt es dafür in Contao integrierte Funktion, die ich hierfür nutzen kann?
Oder habe ich sonstwas übersehen in dieser Konstellation?
Vielen Dank für eure Inputs!
Lesezeichen