Auf was muss ich in puncto Sicherheit bei Modulen und Plugins achten?

PHP-Dateien – egal ob Module oder Plugins – sind stets mit einer Sicherheitszeile versehen:

defined('CON_FRAMEWORK') || die('Illegal call: Missing framework initialization - request aborted.');

Diese – direkt am Anfang stehende – Zeile verhindert den direkten Aufruf von Modulen. Sie ermöglichen hingegen das Aufrufen von Modulen bzw. Plugins ausschließlich im Rahmen des Frontends bzw. Backends.

Wir empfehlen ansonsten, alle per Formular und Parameter übergebenen Variablen – vor allem solche, die in Datenbankabfragen genutzt werden – entsprechend mit unseren Sicherheitsfunktionen zu bearbeiten. Hierzu stehen die Funktionen cSecurity::toInteger (für ganze Zahlen), cSecurity::toString (für Texte), cSecurity::toBoolean (für Booleans) sowie generell cSecurity::escapeDB (bei Datenbankabfragen) und cSecurity::escapeString (bei Texten) zur Verfügung.