Eggibile, si $name ou $value ne peut pas être utilisé en toute sécurité comme attribut HTML, nous pourrions détruire HTML ou pire. De plus, nous voulons nous assurer que $label est en fait HTML sécurisé.
Cela est particulièrement important si $label provient drsquoune base de données ou drsquoune autre source non fiable. Considérez la différence entre ces deux codes: echo lsquo Fenêtre Position = lsquo http:shadyonlinepharmacy.com « lsquo Ou ce code: ESC _ HTML (lsquo) Fenêtre Position = lsquo http:shadyonlinepharmacy.com « lsquo ) Dans le premier exemple, si crsquoest la chaîne sortie de votre base de données, et crsquoest lrsquoexemple parfait de ce que le hacker va entrer dans votre base de données, vos utilisateurs seront redirigés vers http:shadyonlinepharmacy.com. Ce dernier exemple, cependant, semble mauvais.
Pour reconstruire lrsquoexemple drsquoun élément HTML, nous voulons utiliser ESC _ ATTR () pour éviter tous les attributs HTML et ESC htm () pour éviter le contenu HTML. Voici à quoi ça ressemble: echo lsquo lsquo . ESC _ HTML ($Label). » lsquo Il nrsquoest même pas aussi lisible que notre exemple original. Fermer les guillemets, utiliser une période, une fonction, puis utiliser une autre période, puis rouvrir les guillemets est un processus confus et sujet aux erreurs. ajoutez des guillemets simples et doubles, cela devient plus compliqué.
Au lieu de cela, sprintf () ou printf () sont plus propres. Encore une fois, refactor pour utiliser printf, de sorte que ma balise est drsquoun côté et ma valeur de lrsquoautre: printf (lsquo) % Art. lsquo, ESC _ ATTR ($name), ESC HTML ($Label), ESC ATTR ($name), ESC ATTR ($value)
Il est important drsquoéviter les retards dans tout pour éviter les entrées non fiables. Mais si nrsquoêtes pas prudent, pourriez finir par fuir, ce qui pourrait causer beaucoup de problèmes. Ce nrsquoest pas bon de ne pas courir. Courir trop peut faire mal. Suivez la pratique des vols retardés et évitez constamment le manque drsquoévacuation et les vols excessifs.
Par exemple, au début de cette année, de nombreux plugins WordPress populaires ont rencontré des problèmes de sécurité
Une requête SQL ou une chaîne de requête URL créée avec add _ Query Arg () ne peut pas être échappée. La hâte de résoudre ces problèmes et drsquoéviter drsquoêtre victime de problèmes similaires a conduit à de nombreuses fugues excessives, qui ont également causé ses propres problèmes. Par exemple, beaucoup de gens évitent chaque fois qursquoils utilisent add _ Query Arg (). Cela peut causer des problèmes si passez à nouveau une chaîne drsquoURL échappée avec des paramètres de requête via add _ Query Arg ().
Par exemple, jrsquoécris souvent des fonctions telles que la fonction Slug _ get API URL () {
Renvoie lrsquoURL rest _ URL (lsquoMy namespacersquo)
Vous pouvez le regarder et penser,
Fonction Slug _ my Custom API ($action = False) {
$URL = home _ URL (lsquoAPI personnaliséersquo)
If (IS _ String ($Operation) {
$URL = add _ Query Arg (lsquoactionrsquo, $action, $URL)
}
Renvoie $URL
}
Fonction Slug _ submit action ($ID) {
Renvoie add _ Query Arg (lsquoidrsquo, (int) $ID, Slug my Custom API (lsquosubmitrsquo)
}
Ajouter une action (lsquoWP _ enqueue scriptsrsquo, fonction () {
(! Is _ ngular ())
Reviens!
}
$post = get _ Post ()
WP _ enqueue script (lsquoSlug scriptrsquo, lsquo)
WP _ localize script (lsquoSlug scriptrsquo, lsquoSlugrsquo, array (
« read» = gt ESC _ URL (Slug my Custom API (lsquoreadrsquo),
« commit» = gt ESC _ URL (Slug submit action ($post gt ID))
))
}) Jrsquoespère que avez appris les bases de ce post sur importan
Za pour quitter toutes les sorties. Le Guide des meilleures pratiques pour les développeurs de WordPress VIP est une excellente ressource sur les meilleures pratiques que chaque développeur de WordPress devrait lire. Lrsquoimportance drsquoéviter tout est absolument dans la lecture.
Maintenant que avez maîtrisé les bases drsquoEscape et où trouver la fonction escape Lisez Luke source Jrsquoespère que pourrez commencer à vérifier le Code que avez écrit, ou couper et coller à partir de tutoriels utiles pour trouver les erreurs dans le respect de cette meilleure pratique.
