Vorsicht ist geboten bei der naiven Verwendung von GET- oder POST-Parametern innerhalb von TypoScript DB-Queries.
Gegeben sei folgendes Beispiel:
lib.category_headline = TEXT
lib.category_headline {
cObject = CONTENT
cObject {
table = tx_cal_category
select.selectFields = title
select.pidInList = 309
select.languageField = sys_language_uid
select.where = deleted=0 AND hidden=0
select.andWhere = uid={GPvar:tx_cal_controller|category}
select.andWhere.insertData = 1
renderObj = TEXT
renderObj.field = title
}
}
Sieht nicht weiter schlimm aus? Ist es aber.