[Kohana]$this->input->post usuwa tagi <title> Opcje

[Spawnm]

Witam,
mam dość dziwny problem z odbieraniem danych z formularza,
odbieram je przez $this->input->post('body');
w danych jest kod html oraz jakaś treść.
Niestety $this->input->post wycina mi z całości tagi <title>,
Co zrobić aby tak się nie działo?
Dodam że nie jest to wina serwera gdyż w osobnym pliku sprawdzałem odbieranie danych przez zwykły $_POST
i nic nie było wycinane...

Powód edycji: [Spawnm]:

[k_@_m_i_l]

Dość głupie, ale sprawdź w config.php czy masz ustawione :

[PHP] pobierz, plaintext 
 $config['global_xss_filtering'] = TRUE;
[PHP] pobierz, plaintext 

na TRUE, jeśli tak, to spróbuj zmienić na FALSE i zobacz czy to coś da

[wookieb]

Błagam... tylko nie moderator

usuwa

[k_@_m_i_l]

W sumie jak tak teraz myślę, to w configu lepiej tą wartość pozostawić ustawioną na TRUE, a w kodzie gdzie pobierasz tą wartość z POST-a, to daj sobie tak :

[PHP] pobierz, plaintext 
 $this->input->post('body',null,false);
[PHP] pobierz, plaintext 

Gdzie trzeci parametr odpowiada za filtrowanie przed atakami XSS. A ustawienie go na false, powoduje, że pobierana wartość nie jest pod tym kątem sprawdzana.

[Spawnm]

No niestety , jak ustawiam w configu na true to 3 parametr jest omijany i zawsze mi filtruje , ale jak dam w configu false to już uwzględnia 3 parametr .



Już widzę czemu tak się dzieje...
Gdy jest odpalany input który pobiera $_POST
najpierw w __construct jest

[PHP] pobierz, plaintext 
//czy w configu jest tru
$this->use_xss_clean = (bool) Kohana::config('core.global_xss_filtering');
//jakieś inne działania
//...
if (is_array($_POST))
			{
				foreach ($_POST as $key => $val)
				{
					// Sanitize $_POST
					$_POST[$this->clean_input_keys($key)] = $this->clean_input_data($val);
				}
}
[PHP] pobierz, plaintext 

a w clean_input_data() mamy

[PHP] pobierz, plaintext 
if ($this->use_xss_clean === TRUE)
		{
			$str = $this->xss_clean($str);
		}
[PHP] pobierz, plaintext 

A nasz 3 parametr jest sprawdzany dopiero po przepuszczeniu danych przez clean_input_data ...
czyli jak można zobaczyć w kodzie:

[PHP] pobierz, plaintext 
protected function search_array($array, $key, $default = NULL, $xss_clean = FALSE)
	{
//jakieś inne działania
//...
if ($this->use_xss_clean === FALSE AND $xss_clean === TRUE)
		{
			// XSS clean the value
			$value = $this->xss_clean($value);
		}
[PHP] pobierz, plaintext 

jest on uwzględniany tylko gdy mamy config na false

[shreeve]

Wiem, że temat trochę już się postarzał, ale czy udało się komuś znaleźć na ten problem jakiegoś prostego fixa czy jednak trzeba będzie zabawić się w przerabianie biblioteki Input?

[Spawnm]

Ale na jaki problem ?
Przeczytaj posty.