Klar, kenne ich.
Mit request_var() übernehme ich ja auch schon 99,5 % der Daten.
Wenn ich allerdings nur das Vorhandensein einer Variable/eines Wertes prüfe (für eine einfache Bedingung) oder Arrays übernehme, fahre ich den "alten" Weg, sprich direkt aus $_POST heraus. $_GET lasse ich komplett links liegen; macht auch z. B. bei Formularen, wo ich u. a. Arrays übergebe, keinen Sinn.
Wie allerdings phpBB 3 mit Array-Werten umgeht, um diese mit request_var zu übernehmen, hat sich mir noch nicht erschlossen. Also genauer: Ich verwende solche Input-Konstrukte (beispielsweise):
Und das kann ich so, warum auch immer, mit request_var('id', array()); nicht übernehmen. Über das "warum" hatte ich mich dann auch schnell nicht mehr gekümmert und zunächst eben nach der "alten" Methode übernommen, um in der Konvertierung selber voran zu kommen.
Ich werde das aber nach der Konvertierung als solches noch einmal genauer untersuchen, um meinen Aufbau darauf hin anzupassen.
Wenn hier jemand schon mit diesen Angaben meinen Fehler im Ansatz erkennt... Nur her mit der Lösung...
Ich übernehme so also direkt aus $_POST die einzelnen Arrays (sind in Summe glaub ich nur 3 im ganzen MOD) und verarbeite die dann anschliessend in einer Schleife mit intval();, um hier saubere Zahlen zu erhalten, bevor diese in ein SQL-Statement landen.
Aber dennoch bin ich (und hier bin ich klar auf der Seite der Entwickler) damit nicht zufrieden, wie es halt noch gelöst ist, aber ich bin ja auch noch in der Entwicklung.
Wobei ich rein vom logischen her mit "meiner" Methode keine Sicherheitslücke daran erkennen kann, aber besser wäre eben klar die Methode, die im phpBB 3 bereits vorhanden ist, um bei zukünftigen Sicherheitsupdates diese auch zentral behoben zu bekommen.
Naja, irgendwann werde ich das auch verstanden haben, wie das zu machen ist (oder jemand anderes greift mir hier unter die Arme) und dann stelle ich den MOD an den entsprechenden Stellen darauf um...
deinstallieren musste.
