Wert in Controller auslesen

brettvormkopp · 2. November 2020 um 21:32

Hallo,

ich habe ein Controller erstellt.

Diesen kann ich auffrufen über example.de/frontend/Test und dort führt er die indexAction() auf. Soweit alles ok.

Was muss ich machen, damit man zum Beispiel example.de/frontend/Test/123 aufrufen kann, also 123 ist ein variabler Wert, es könnte auch 321 sein.

Ich hoffe ich habe mich korrekt ausgedrückt. Ich suche keine function 123Action(), sondern will den Wert abfangen und verarbeiten.

Danke und Gruss.

brettvormkopp · 2. November 2020 um 22:16

Habe jetzt das hier rausgefunden: example.de/frontend/Test/id/123/

Test steht für testAction() und wenn ich in der URL erweitere mit id/123/ wird das als [id => “123”] verarbeitet.

    public function testAction()
    {
        $params = $this->Request()->getParams();
        print_r($params);
     }

R4M · 3. November 2020 um 13:01

$id = $this->Request()->getParam('id');

brettvormkopp · 3. November 2020 um 13:41

Vielen Dank für den super Tipp. @R4M‍

Noch eine Frage bzgl. Sicherheit. Ist das denn sicher vor SQL-Injections? Ich nutze PDO prepared Statements innerhalb der Action und frage mich ob das sicher ist …mhhh.

Danke und Gruss

R4M · 3. November 2020 um 13:45

Also ich gehe jetzt davon ganz fest aus, denn dies ist ja auch die übliche Methode in Plugins bzw. Shopware macht es selber so.

Patrick_Stahl · 3. November 2020 um 14:03

Moin @brettvormkopp‍,

wenn du konsequent und richtig prepared Statements nutzt, bist du da auf der sicheren Seite.

Liebe Grüße,
Patrick Stahl

brettvormkopp · 3. November 2020 um 15:12

Was wären denn unrichtige prepared Statements [@Patrick Stahl](http://forum.shopware.com/profile/1869/Patrick Stahl „Patrick Stahl“)‍ ?

Aktuell nutze ich die so:

$query = "SELECT * FROM xyz WHERE id = :id";
$conn = $pdo->prepare($query);
$conn->bindValue(......)

oder so:

$conn = $pdo->prepare("SELECT * FROM xyz WHERE id = :id");
$conn->bindValue(......)

Patrick_Stahl · 9. November 2020 um 10:51

Moin @brettvormkopp‍,

sorry, war leider letzte Woche unpässlich.

Deine beiden Beispiele sind im Prinzip das Gleiche und beide okay so.
„Unrichtige prepared statements“ sind quasi „garkeine prepared statements“ - häufig sehe ich einen Mix aus „korrektem prepared statement“ und dann wurde doch eine Injection eingebaut, bspw. wie folgt:

SELECT *
FROM XYZ
WHERE foo = :bar
LIMIT $test

Da ist das foo = :bar korrekt , aber direkt eine Zeile später wird dann doch eine Variable direkt ins Query gesetzt und damit eine Injection ermöglicht.

Lieben Gruß,
Patrick Stahl

Thema		Antworten	Aufrufe
Controller um Action erweitern Programmierung	3	963	18. Dezember 2017
Prepared Statement schluckt Parameter als Variable aus Array nicht Programmierung	10	1246	6. September 2018
Variablen in Controller zwischenspeichern Programmierung	1	265	25. Oktober 2017
Andere Controller Action aus API Controller aufrufen Programmierung	3	611	18. Dezember 2017
Aufruf einer Controller-Action via Ajax Shopware 3.5 programming	1	2341	17. Februar 2015

Wert in Controller auslesen

Verwandte Themen