[Stefan Kohler]

Hallo,
folgendes ist mein Typoscipt:

PHP-Code:

## timestamp erzeugen und als Objekt ablegen
temp.timestamp = COA
temp.timestamp.10 = TEXT
temp.timestamp.10 {
    data = date : U
    strftime = %s
}
temp.REF < temp.timestamp

## feld uid22 mit dem Timestamp belegen
plugin.tx_powermail_pi1 {
    prefill {
        uid22 < temp.REF
    }
}

## iframe-code erzeugen, Timestamp als Variable an die php-datei hängen
lib.applet = COA
lib.applet.10 = TEXT
lib.applet.10.value = <iframe src="uploader/applet.php?ref=
lib.applet.20 = TEXT
lib.applet.20.data = TSFE:fe_user|sesData|powermail_138|uid22
lib.applet.30 = TEXT
lib.applet.30.value = " width="400px" height="340px" name="up" frameborder="0" scrolling="no"></iframe> 


Im wesentlichen erzeuge ich einen Timecode, fülle damit ein Formularfeld und möchte darunter ein iFrame einbinden an das der Timecode angehängt wird.

Das Textfeld wird zwar befüllt mit dem TC, aber die folgende Zeile im script macht Probleme

PHP-Code:

lib.applet.20.data = TSFE:fe_user|sesData|powermail_138|uid22 


. Die zeigt nämlich nix an.
Vielleicht hat jemand nen Tip für mich, wäre klasse.

Ach ja: Das ganze läuft in einem geschützen Bereich, der nur nach Anmeldung erreichbar ist.

vielen Dank schon mal,
Stefan Kohler

[einpraegsam.net]

Zitat:

Zitat von Stefan Kohler

Ach ja: Das ganze läuft in einem geschützen Bereich, der nur nach Anmeldung erreichbar ist.

Das ist gut, weil du hier eine fette XSS Lücke aufreißt mit deinem iframe (Abhifle mit htmlspecialchars).

Ist denn überhaupt etwas in der Session drin, die du ausgeben willst? Testoutput über

PHP-Code:

print_r($GLOBALS['TSFE']->fe_user); 


Wenn du clearSession benutzt, wir die Session nach dem Absenden geleert.


Cheers, Alex

[Stefan Kohler]

Danke für die Antwort. Die Sicherheitslücke ist mir klar, allerdings ist das nicht so schlimm, das Applet macht nicht's relevantes.

Wie kann ich denn den Timecode aus dem Feld auslesen? Ich denke da liegt das Probem. Anfangs hatte ich ein zweiteiliges Formular, der Timecode wurde auf der ersten Seite eingebunden, das Applet auf der zweiten.
Die Daten wurden wohl als Session abgelegt.

Das habe ich geändert und seitdem ist mein TSFE:fe_user|sesData|powermail_138|uid22 leer :sad:

[einpraegsam.net]

Naja, die Daten wandern logischerweise erst in die Session bei einem Submit.
Wenn du auf der gleichen Formularseite an die Daten willst, was spricht gegen:

Typoscript-Code:

1: 2: 3: 4: 5: 6: 7: 8: 9: 10: 11: 12: 13: 14: 15:

temp.timestamp = TEXT temp.timestamp.data = date : U temp.REF < temp.timestamp temp.REF.strftime = %s plugin.tx_powermail_pi1 { prefill { uid22 < temp.REF } } #... lib.applet.20 < temp.timestamp #...