Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [CodeIgniter]CKEditor i Codeigniter
webmaniak
post
Post #1





Grupa: Zarejestrowani
Postów: 371
Pomógł: 30
Dołączył: 14.04.2010

Ostrzeżenie: (0%)
-----

Witam,
mam kolejny problem z codeigniterem, tym razem wiąże się to z ckeditorem. Mianowicie ckeditor usuwa mi style, czyli jak wspiszę: <div style="font-size: 14px"> - to po zapisaniu mam sam div. "Wyguglowałem" że rozwiązaniem jest:

[PHP] pobierz, plaintext 
  1. $config['global_xss_filtering'] = FALSE;
[PHP] pobierz, plaintext


Jednak jest to zabezpieczenie przed XSS, tu więc moje pytanie, jak bardzo moja (kiedyś) aplikacja straci na bezpieczeństwie, gdy to wyłączę?
Druga sprawa, znalazłem również kod żeby obejść grzebanie w configu:

[PHP] pobierz, plaintext 
  1. protected function _remove_evil_attributes($str, $is_image){
  2.   // All javascript event handlers (e.g. onload, onclick, onmouseover), style, and xmlns
  3.   $allowed = array("adresy dla których style ma nie być usuwany bez domeny na przykład '/admin/edittext/'");
  4.   if(in_array($_SERVER['REQUEST_URI'],$allowed)){
  5.     $evil_attributes = array('on\w*', 'xmlns');
  6.   }else{
  7.     $evil_attributes = array('on\w*', 'style', 'xmlns');
  8.   }
  9.  
  10.   if ($is_image === TRUE){
  11.     /*
  12.     * Adobe Photoshop puts XML metadata into JFIF images,
  13.     * including namespacing, so we have to allow this for images.
  14.     */
  15.     unset($evil_attributes[array_search('xmlns', $evil_attributes)]);
  16.   }
  17.  
  18.   do {
  19.     $str = preg_replace(
  20.       "#<(/?[^><]+?)([^A-Za-z\-])(".implode('|', $evil_attributes).")(\s*=\s*)([\"][^>]*?[\"]|[\'][^>]*?[\']|[^>]*?)([\s><])([><]*)#i",
  21.       "<$1$6",
  22.       $str, -1, $count
  23.     );
  24.   } while ($count);
  25.   return $str;
  26. }
[PHP] pobierz, plaintext


Niestety, w miejscu w którym znalazłem kod nie ma opisanego sposobu- przykładu jego wykorzystania, a próba kontaktu z autorem niestety się nie powiodła. Plik umieściłem w katalogu core w pliku MY_Security.php.
Nie ma tam przykładu użycia, a za bardzo nie wiem co wpisać jako $str i $is_image żeby to działało. Jako $str mam wpisać elementy jak np. div, span? a jako drugi parametr? Proszę o napisanie przykładu wykorzystania tego kodu osoby lepiej rozumiejące go.

Ten post edytował webmaniak 27.12.2012, 09:28:27
Go to the top of the page
+Quote Post

Posty w temacie
- webmaniak   [CodeIgniter]CKEditor i Codeigniter   27.12.2012, 09:06:59
- - szok   Nie straci na bezpieczeństwie jeśli dane z post bę...   27.12.2012, 09:41:34
- - webmaniak   No dobrze, a jakbym jednak nie chciał grzebać w co...   27.12.2012, 09:55:07
- - szok   Nie da się, jak masz ustawione na true, to CI zaws...   27.12.2012, 10:26:49
- - mieszkos   Dziwne macie rozwiązania, form_validation i po pro...   27.12.2012, 11:23:09
- - webmaniak   Problem rozwiązany. Zastosowałem metodę z pierwsze...   28.12.2012, 11:05:27

« Następny starszy · Frameworki · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 3.10.2025 - 11:41
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn