Membersihkan, melarikan diri dan mengesahkan data dalam WordPress

Keselamatan Data WordPress: Pembersihan, melarikan diri dan Pengesahan

Apabila membina plugin dan tema WordPress untuk beribu -ribu laman web, pastikan untuk mengendalikan data masuk dan meninggalkan WordPress dengan teliti. Tutorial ini akan meneroka fungsi asli untuk melindungi, membersihkan, dan memeriksa data WordPress, yang penting dalam mewujudkan halaman tetapan, bentuk HTML, memanipulasi kod pendek, dan banyak lagi.

Apakah pembersihan data? Singkatnya, pembersihan data adalah untuk membersihkan input pengguna. Ia menghilangkan teks, aksara, atau kod yang tidak dibenarkan dalam input.

Contoh:

Gmail Mengeluarkan tag dan kandungan dari mesej HTML sebelum memaparkannya untuk mengelakkan CSS daripada menimpa gaya Gmail. Tajuk widget WordPress tidak membenarkan tag HTML, dan jika ada, akan dikeluarkan secara automatik sebelum menyimpan tajuk. WordPress menyediakan pelbagai fungsi untuk membersihkan pelbagai jenis data:

: Mengeluarkan aksara yang tidak dibenarkan dalam alamat e -mel. Sebagai contoh: . sanitize_email() sanitize_email("narayan prusty@sitepoint.com") "narayanprusty@sitepoint.com": Menghapuskan aksara dari nama fail yang boleh menyebabkan masalah dengan fail rujukan baris arahan. Uploader Media WordPress menggunakan fungsi ini untuk membersihkan nama fail media. Sebagai contoh: .
• sanitize_file_name() sanitize_file_name("_profile pic--1_.png"): Pilihan, metadata, dan kekunci sementara hanya boleh mengandungi aksara alfanumerik huruf kecil, sengkang, dan garis bawah. Fungsi ini digunakan untuk membersihkan kunci. Sebagai contoh: "profile-pic-1_.png".
• sanitize_key(): Menghapuskan aksara UTF-8 yang tidak sah, menukarkan aksara khusus HTML kepada entiti, menghilangkan semua tag, dan menghilangkan rehat, tab, dan ruang tambahan. WordPress menggunakan fungsi ini untuk membersihkan tajuk widget. Sebagai contoh: sanitize_key("http://SitePoint.com"). "httpsitepointcom"
• : Mengeluarkan tag php dan html, serta aksen dari rentetan. Tukar aksara ruang ke dash. Fungsi ini digunakan untuk menjana slug artikel/halaman berdasarkan tajuk artikel/halaman, dan bukannya membersihkan tajuk (membersihkan tajuk memerlukan sanitize_text_field()). Sebagai contoh: sanitize_text_field("Bold"). "Bold"
• sanitize_title() Apakah data melarikan diri? sanitize_text_field sanitize_title("Sanítizing, Escaping and Validating Data in WordPress") Singkatnya, melarikan diri data adalah untuk melindungi output. Ini dilakukan untuk mencegah serangan XSS dan memastikan data dipaparkan seperti yang diharapkan. "sanitizing-escaping-and-validating-data-in-wordpress"
Data Escape Menukar aksara HTML khas ke dalam entiti HTML untuk paparan dan bukannya pelaksanaan.

Contohnya:

Facebook melarikan diri mesej sembang apabila mereka memaparkan untuk memastikan pengguna tidak menjalankan kod pada komputer masing -masing.

WordPress menyediakan beberapa fungsi untuk melarikan diri dari pelbagai jenis data:

• esc_html(): melarikan diri dari watak -watak khusus HTML.
• esc_textarea(): Apabila memaparkan teks di kawasan teks, gunakan esc_textarea() bukannya esc_html() kerana esc_textarea() boleh entiti double-encode.
• esc_attr(): encode ,, &, ", dan ' aksara. Ia tidak pernah menggabungkan entiti. Fungsi ini digunakan untuk melepaskan nilai atribut tag HTML.
• esc_url(): URL juga boleh mengandungi kod JavaScript. Oleh itu, jika anda ingin memaparkan URL atau tag penuh <a></a>, atribut href harus dilepaskan, jika tidak, ia boleh mengakibatkan serangan XSS.
• esc_url_raw(): Gunakan fungsi ini jika anda ingin menyimpan URL dalam pangkalan data atau untuk pengalihan URL. Perbezaan antara esc_url dan esc_url_raw ialah esc_url_raw tidak menggantikan sebut harga versus dan tunggal.
• antispambot(): Fungsi ini menukarkan aksara alamat e -mel ke entiti HTML untuk menyekat bot spam.

Apakah pengesahan data?

Singkatnya, pengesahan data adalah mengenai memeriksa input pengguna. Ini adalah untuk memeriksa sama ada pengguna telah memasukkan nilai yang sah.

Jika data tidak sah, ia tidak akan diproses atau disimpan. Sistem ini akan meminta pengguna untuk memasuki semula nilai.

Contohnya:

Apabila anda membuat akaun di laman web, anda akan diminta memasukkan kata laluan anda dua kali. Sistem ini akan mengesahkan bahawa kedua -dua kata laluan adalah sama.

Pengesahan HTML5 tidak boleh dipercayai, kerana ia mudah dilangkau. Pengesahan sisi pelayan diperlukan sebelum data tertentu diproses atau disimpan.

WordPress menyediakan beberapa fungsi untuk mengesahkan jenis data tertentu. Pemaju biasanya menentukan fungsi mereka sendiri untuk pengesahan data.

: Periksa sama ada rentetan yang diberikan adalah alamat e -mel.

• is_email(): Periksa sama ada data yang diluluskan adalah rentetan.
• is_serialized()
Kesimpulan

Kami memahami konsep pembersihan data, pengesahan dan melarikan diri dan kepentingan mereka. Pastikan untuk memasukkan fungsi ini apabila membangunkan tema atau plugin WordPress. Banyak plugin tidak dibangunkan dengan baik dan tidak mempunyai output yang melarikan diri, yang menjadikan laman web terdedah kepada serangan XSS yang berpotensi.

FAQ (FAQ)

Bahagian ini mengandungi soalan yang sering ditanya mengenai pembersihan data, melarikan diri, dan pengesahan dalam WordPress, yang meliputi kepentingannya, bagaimana untuk bekerja, amalan terbaik, dan cara menggunakan fungsi WordPress untuk melaksanakan langkah -langkah keselamatan ini.

Atas ialah kandungan terperinci Membersihkan, melarikan diri dan mengesahkan data dalam WordPress. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!