Fehlende Variablen in $_REQUEST

Vor Kurzem standen wir vor dem Problem, dass eine TYPO3-Backend-Extension auf dem Staging-Server nicht wie auf dem Entwicklungsserver funktioniert hat. Grund hierfür war eine Sicherheitseinstellung aus dem Staging-Server. Dieser wurde nämlich, wie in der Debian Standardinstallation üblich, mit suhosin gepatched.

Der Suhosin-Patch bewirkt letztendlich, dass gewisse Eingabewerte in PHP beschränkt werden, um mehr Sicherheit zu gewähren. Unter diesen Eingabewerten befinden sich neben Cookie- und POST-Parametern auch GET-Parameter und eine allgemeine Beschränkung für alle REQUEST-Parameter.

Da in TYPO3-Backend-Extensions in der Regel recht lange GET-Parameter in der URL übergeben werden, um z.B. auf eine Controller-Action-Kombination zu leiten, ist regelmäßig suhosin eingesprungen und hat diese Parameter entfernt.

Abhilfe schafft es hier, die Länge der GET/REQUEST-Parameternamen in der suhosin-Konfiguration zu erweitern. Auf Debian-Systemen befindet sich die Konfigurationsdatei normalerweise unter /etc/php5/conf.d/suhosin.ini.