插件基础知识
- 标头要求
- 包括软件许可证
- 激活/停用钩子
- 卸载方法
- 最佳实践
- 确定插件和内容目录
插件安全
- 用户权限
- 数据验证
- 清理数据
- 随机数
钩子
- 动作
- 过滤器
- 自定义钩子
- 高级主题
隐私
- 个人数据导出
- 高级主题
管理菜单
- 顶级菜单
- 子菜单
简码
- 基本简码
- 附上简码
- 带参数的简码
- TinyMCE 增强型简码
设置
- 设置接口
- 使用设置 API
- 选项接口
- 自定义设置页面
元数据
- 管理帖子元数据
- 自定义元数据
- 渲染帖子元数据
自定义帖子类型
- 注册自定义帖子类型
- 使用自定义帖子类型
分类法
- 使用自定义分类
用户
- 与用户合作
- 使用用户元数据
- 角色和能力
JavaScript、Ajax 和 jQuery
- jQuery
- Ajax
- 服务器端PHP和队列
- 心跳接口
- 总结
任务调度
- 了解 WP-cron 调度
- WP Cron 事件调度
- 将 WP cron 挂接到系统任务调度程序中
- WP-Cron的测试
国际化
- 地方化
- 如何国际化您的插件
- 国际化安全
插件目录
- 详细的插件指南
- 规划插件
- 使用SVN
- 警报和警告
- 开发者常见问题
开发人员工具

国际化安全

在谈论国际化时，安全性常常被忽视，但有几件重要的事情需要牢记在心。

检查垃圾邮件和其他恶意字符串

当翻译人员向您提交本地化版本时，请始终检查以确保他们的翻译中没有包含垃圾邮件或其他恶意词语。您可以使用Google 翻译将他们的翻译翻译回您的母语，以便您可以轻松地比较原始字符串和翻译后的字符串。

转义国际化字符串

您不能相信翻译人员只会在他们的本地化中添加良性文本；如果他们愿意，他们可以添加恶意 JavaScript 或其他代码。为了防止这种情况发生，像对待任何其他不受信任的输入一样对待国际化字符串非常重要。

如果您正在输出字符串，那么它们应该被转义。

不安全：

_e( 'The REST API content endpoints were added in WordPress 4.7.', 'your-text-domain' );

安全的：

esc_html_e( 'The REST API content endpoints were added in WordPress 4.7.', 'your-text-domain' );

或者，有些人选择依赖翻译验证机制，而不是在他们的代码中添加转义。验证机制的一个示例是WordPress Polyglots 团队用于translate.wordpress.org 的编辑角色。这确保了不受信任的贡献者提交的任何翻译在被接受之前都经过了受信任的编辑器的验证。

对 URL 使用占位符

不要在国际化字符串中包含 URL，因为恶意翻译者可能会更改它们以指向不同的 URL。相反，为printf()或 sprintf()使用占位符。

不安全：

_e(
	'Please <a href="https://login.wordpress.org/register"> register for a WordPress.org account</a>.',
	'your-text-domain'
);

安全的：

printf(
	esc_html__( 'Please %1$s register for a WordPress.org account %2$s.', 'your-text-domain' ),
	'<a href="https://login.wordpress.org/register">',
	'</a>'
);

编译你自己的 .mo 二进制文件

通常译者会将编译后的 .mo 文件与明文的 .po 文件一起发送，但是你应该丢弃他们的 .mo 文件并编译你自己的，因为你无法知道它是否是从相应的 .po 文件编译而来的，或不同的。如果它是针对不同的编译器编译的，那么它可能在您不知情的情况下包含垃圾邮件和其他恶意字符串。

使用 PoEdit 生成二进制文件将覆盖 .po 文件中的标头，因此最好从命令行编译它：

msgfmt -cv -o /path/to/output.mo /path/to/input.po