WordPress’te Çıkış Çıkışı için Yeni Başlayan Kılavuz

Bu ayın başlarında, WordPress’te doğrulama ve sanitasyona giriş yazdım, bu da sitenize HTTP istekleri veya PHP işlevi aracılığıyla giren verilerin yetkilendirilmesini, doğru bir şekilde oluşturulmasını ve tehlikeli olmamasını vurguladım. Makale tamamen girdi ile ilgili. Bu tamamen çıktı ile ilgili. Sınıfa veya diğer işlevleri görüntülemek veya dahil olmak için veritabanından veri alınırken alınması gereken önlemleri tartışacağız. Umarım bu noktada kimseye ve hiçbir şeye güvenmemeyi öğrenirsiniz. Aynı şey veritabanları için de geçerlidir.
Benden sonra tekrarlayın, “Veritabanı güvenilir bir veri kaynağı değil.” İnsan problemleri Girdi ve sanitasyonun doğrulanması hakkında tavsiyemi uygulasanız bile, veritabanınızdaki tüm veriler hala yüzde 100 güvenli değildir. Her veritabanı, her uygulama, her web sitesi ve her eklenti ve WordPress teması ana güvenlik zayıflıklarına sahiptir … İnsanlar yazılı ve kullanma insanları yazılım yazılımında ve kullanarak hatalar yaparlar. Bu bilinir. Siz, müşteriniz, eklentinizi ve temanızı yükleyen biri veya işlevine bağlı kodun bir örneğini yazan kişi, sorunu çözmek için umutsuzken, biriniz kesinlikle yanlış bir şey yapar ve Form veritabanı veya daha kötüsü, güvenlik açığı içindeki yanlış veriler.
Bu makalede ve son makalede en iyi uygulamayı uygulayarak, bu hataları daha kolay bulabilirsiniz. Ayrıca, genel olarak ekrana yazdırılacak içeriği hazırlama süreci olan geç kaçma ilkesi hakkında konuşacağız. HTML olarak ürettiğimiz her bir öğenin her şeyden kurulmasının, bağlama göre doğru bir şekilde dikkat edilmesi gerekir. Örneğin, formun öğelerini yapmak için genellikle böyle bir şey görüyoruz: echo ‘‘. $ etiket. ‘ ‘; Neredeyse okunamayan olmanın yanı sıra, $ name veya $ değerinin bir HTML özniteliği olarak kullanımı güvenli değilse, HTML’ye veya daha da kötüsüne zarar verebiliriz. Ayrıca, $ etiketinin aslında güvenli bir HTML olduğundan emin olmak istiyoruz. $ Etiket diğer veritabanlarından veya kaynaklardan gelirse bu çok önemlidir. Bu kodun iki biti arasındaki farkı düşünün: echo ‘
‘; Veya bu kod: ESC_html (‘
‘); İlk örnekte, veritabanınızdan çıkan bir dize ise ve bu, veritabanınıza hacker türünün mükemmel bir örneği ise – kullanıcınız http://shadyonlinepharmacy.com adresine yönlendirilecektir. Ancak son örnek sadece kötü görünüyor.
HTML öğeleri için örneğimizi yeniden aktarmak için ESC_ATTR () ve HTML içeriğini ESC_HTM () kullanarak tüm HTML özniteliklerinden kaçınmak istiyoruz. Aşağıdaki görünüm: echo ‘‘. ESC_html ($ etiket). ‘ <giriş türü = "metin" name = "'. ESC_ATTR ($ name). '" değer = "'. Esc_attr ($ değer). Okumak orijinal örneğimizden daha az kolaydır. Tırnak işaretlerini kapatın, noktaları, işlevleri ve ardından diğer noktaları kullanın ve ardından alıntıları yeniden açın ve kolayca karıştırılabilir. Tek ve çift tırnak işaretini birleştirirseniz, daha karmaşık hale gelir. Bunun yerine, sprintf () veya printf () çok daha temizdir. Bu aynı şey, printf kullanmak için yeniden düzenlenmiş, böylece bir tarafta bir işaretleme ve diğer tarafta değerim var: printf ('%s ‘, esc_attr ($ name), esc_html ($ label), esc_attr ($ name), esc_attr ($ değer));
Sevilmeyen girişlerden kaçan her şeyin geç kalması önemlidir. Ancak, dikkatli değilseniz, kaçabilirsiniz, bu da birçok soruna neden olabilir.

Kaçmamak kötü. Aşırı kaçış kötü. Geç kalma uygulamasının ardından, kaçış eksikliğinden ve aşırı kaçıştan kaçınmak. Örneğin, bu yılın başlarında, birçok popüler WordPress eklentisinde, SQL’deki sorgular veya add_query_arar () kullanılarak yapılan URL sorgu dizeleri gibi kalifiye olma başarısızlığı ile ilgili çeşitli güvenlik sorunu vardı. Bu sorunu çözmek ve birçok aşırı kaçışa neden olan benzer sorunların kurbanı olmaktan kaçınmak için acele edin, bu da kendi sorunlarına neden olur. Örneğin, birçok kişi add_query_arar () kullanımından kaçtı. Bu, bir sorgu bağımsız değişkeni olan ve iletilen URL dizesi, daha sonra add_query_arg () aracılığıyla devam ederse sorunlara neden olabilir. Örneğin, genellikle şöyle işlevler yazıyorum: slug_get_api_url () işlev {) {) {)
Return rest_url (‘name-me-me’);
} Bunu görebilir ve “Tüm URL’lerden çıkmalısınız.” Bu genellikle doğrudur – ama burada değil çünkü bu işlevi daha sonra sorgu dizesi için bir temel olarak kullanabilirim. Ve bazı gereksinimlere göre sonuçlara add_query_arar () aracılığıyla devam edebilir veya devam edebilirim. Geç kaçış pratik yapmamızın nedeni budur. Kaçış yalnızca değişkenin daha önce kaydedileceği veya yazdırılacağı zaman yapılmalıdır. Aşağıda, URL’lerden mümkün olduğunca yavaş önlediğimiz WP_LOCALICAL_SCRIPT kullanılarak JavaScript’te kullanılacak bir çıktı olarak bir URL hazırlamanın bir örneği verilmiştir.
İşlev slug_my_custom_api ($ action = false) {
$ url = home_url (‘Custom-api’);
if (is_string ($ aksiyon)) {
$ url = add_query_arar (‘eylem’, $ eylem, $ url);
}
geri $ url;}
Slug_submit_action ($ id) işlevi {
return add_query_arar (‘id’, (int) $ id, slug_my_custom_api (‘gönder’));
}
Add_action (‘wp_enqueue_scripts’, function () {
if (! Is_singular ()) {
dönüş;
}
$ post = get_post ();
wp_enqueue_script (‘slug-skipt’, …);
WP_LOCALICAL_SCRINK (‘Slug_script’, ‘slug’, dizi (
‘API’ => ESC_URL (slug_my_custom_api ()),
‘Oku’ => esc_url (slug_my_custom_api (‘oku’)),,
‘Gönder’ => ESC_URL (slug_submit_age ($ post-> id)
));
}); Bunu öğrenin umarım bu yazının tüm çıktılarınızın önemi hakkında temel bilgileri öğrendiğinizdir. WordPress VIP geliştiricisi için en iyi uygulama kılavuzu, her WordPress geliştiricisi tarafından okunması gereken en iyi uygulamanın iyi bir kaynağıdır. Her şeyden kaçmanın önemi okunmalıdır.
Şimdi kaçış konusunda temel bir anlayışa sahipsiniz ve kaçış işlevini nerede bulacağınız – Luke’un kaynağını okuyun – Umarım yazdığınız kodu incelemeye başlayacaksınız veya bunu en iyi şekilde takip edememek için yararlı bir öğreticiden ekleyeceksiniz. uygulama.