[CodeIgniter]CKEditor i Codeigniter Opcje

[webmaniak]

Witam,
mam kolejny problem z codeigniterem, tym razem wiąże się to z ckeditorem. Mianowicie ckeditor usuwa mi style, czyli jak wspiszę: <div style="font-size: 14px"> - to po zapisaniu mam sam div. "Wyguglowałem" że rozwiązaniem jest:

[PHP] pobierz, plaintext 
$config['global_xss_filtering'] = FALSE;
[PHP] pobierz, plaintext 

Jednak jest to zabezpieczenie przed XSS, tu więc moje pytanie, jak bardzo moja (kiedyś) aplikacja straci na bezpieczeństwie, gdy to wyłączę?
Druga sprawa, znalazłem również kod żeby obejść grzebanie w configu:

[PHP] pobierz, plaintext 
protected function _remove_evil_attributes($str, $is_image){
  // All javascript event handlers (e.g. onload, onclick, onmouseover), style, and xmlns
  $allowed = array("adresy dla których style ma nie być usuwany bez domeny na przykład '/admin/edittext/'");
  if(in_array($_SERVER['REQUEST_URI'],$allowed)){
    $evil_attributes = array('on\w*', 'xmlns');
  }else{
    $evil_attributes = array('on\w*', 'style', 'xmlns');
  }
 
  if ($is_image === TRUE){
    /*
    * Adobe Photoshop puts XML metadata into JFIF images,
    * including namespacing, so we have to allow this for images.
    */
    unset($evil_attributes[array_search('xmlns', $evil_attributes)]);
  }
 
  do {
    $str = preg_replace(
      "#<(/?[^><]+?)([^A-Za-z\-])(".implode('|', $evil_attributes).")(\s*=\s*)([\"][^>]*?[\"]|[\'][^>]*?[\']|[^>]*?)([\s><])([><]*)#i",
      "<$1$6",
      $str, -1, $count
    );
  } while ($count);
  return $str;
}
[PHP] pobierz, plaintext 

Niestety, w miejscu w którym znalazłem kod nie ma opisanego sposobu- przykładu jego wykorzystania, a próba kontaktu z autorem niestety się nie powiodła. Plik umieściłem w katalogu core w pliku MY_Security.php.
Nie ma tam przykładu użycia, a za bardzo nie wiem co wpisać jako $str i $is_image żeby to działało. Jako $str mam wpisać elementy jak np. div, span? a jako drugi parametr? Proszę o napisanie przykładu wykorzystania tego kodu osoby lepiej rozumiejące go.

Ten post edytował webmaniak 27.12.2012, 09:28:27

[szok]

Nie straci na bezpieczeństwie jeśli dane z post będziesz pobierał tak:
$this->input->post('pole', TRUE);

[webmaniak]

No dobrze, a jakbym jednak nie chciał grzebać w configu i zostawić to xss na true, możesz napisać przykład wykorzystania tej metody? Jak i gdzie ją wczytać?

[szok]

Nie da się, jak masz ustawione na true, to CI zawsze będzie filtrował dane jakie przychodzą i bedzie ci cyrki w ckeditor.

Dobrą opcja jest napisać własną klasę input. Lub przekazywać dane czystym $_POST'em choć tu nie jestem pewien czy CI nie zamienia tej tablicy.

[mieszkos]

Dziwne macie rozwiązania, form_validation i po prostu nie robić xss_clean dla tego pola. chcesz to napisz to ci podpowiem 35138255

[webmaniak]

Problem rozwiązany. Zastosowałem metodę z pierwszego postu, tyle że w moim przypadku ckeditor jest ustawiony do edycji wpisów, a więc wpisywałem zły adres. Ostatecznie problem rozwiązałem usuwając id z $_SERVER['REQUEST_URI'], w innych przypadkach metoda będzie usuwać style, a więc będzie wygodnie i bezpiecznie (IMG:style_emoticons/default/smile.gif)