WordPress任意代码访问和执行问题

2021-11-20 12:00:01 other 阅读:527
PHP来阻止一些代码的运行,仅仅是因为您不希望它运行。一旦你尝试了,人们就会想办法解决这个问题,因为他们想让自己的代码作为自己的代码运行,而不是从其他他们无法控制的\"黑匣子\"系统运行。 这里有一些优点,但尽管我们大多数人都会喜欢你所要求的很多封装,但这样做是不合理的,而且在某种程度上很多情况下是不可能做到的。 \"所有的问题都是你在处理代码,而代码是用来运行的。在PHP中,几乎不可能仅仅因为不希望代码运行就阻止它运行。一旦你尝试,人们就会想办法绕过它,因为他们想让自己的代码作为自己的代码运行,而不是从他们无法控制的其他\"黑匣子\"系统运行。 平衡点是允许人们创建可以直接访问整个系统的插件,而且可以与它互动而不需要任何帮助监督。那个导致一些程序不可避免地出现问题,这些程序允许您上传文件,但是没有正确地检查和清理输入,导致这些插件能够上传可执行文件,或者可能没有经过适当考虑就添加了javascript或其他东西。 \"在PHP中几乎是不可能的仅仅因为你不想让一段代码运行,就阻止它运行,但是完全有可能使代码不可能执行任何操作,除非在上下文。差不多你在主题和插件上看到的所有漏洞都涉及到直接访问一个文件,这个文件在其代码中有足够的访问权限伤害。它这可不简单概念,但找到使代码只在上下文中运行的方法将是安全方面的一个重大进步。 这可能涉及会话跟踪,或者在代码可以访问WP之前验证插件或主题当前是否处于活动状态变量。不是允许打开数据库,不填充WP变量…在很多情况下,如果直接访问会使许多插件和代码段无害地失败。 \"好的主题/插件已经通过内置的WordPress功能来实现这一点。 因此问题…也许作为批准插件的一部分会更好上船wordpress.org网站列出它实际上符合并使用适当的内置函数,不去流氓和直接写文件和太好了。真的如果我们能感觉到我们在这里所能得到的一切都达到了标准,并以最安全的方式工作,这对社区将是一个真正的好处。 \"您如何处理连接到远程数据库以检索WordPress系统之外的数据?\"有关系吗?问题更多的是,当数据进入wordpress生态系统时,如何处理这些数据,以及如何在wordpress中显示这些数据站点。如果有些东西是人们为了避开生态系统,那么也许它应该包含在生态系统中,这样它就可以被正确地测试并安全地使用更高标准的测试代码。 出于好奇,您将如何阻止插件中的PHP代码执行soemthing呢? 我有一种感觉,您试图让所有内容都只通过核心函数工作,但就我目前所见,这是一项不可能完成的任务。 例如,假设您希望获得一个posts元数据。使用***0***已经有了一套方法来实现这一点,这也是我们一直建议使用的方法,并且作为核心代码是安全的。您还可以使用自己的SQL查询,使用$wpdb对象来获取相同的内容,这有点像是通过核心代码实现的。你也可以创建你自己的数据库连接,使用你自己的SQL查询,做任何你想做的事情,如果我是对的,那就是你想要阻止的? 我们的想法是,如果不使用核心,插件(以及主题)就不能操作wordpress文件(数据库、wp内容等)。应该保留$WPDB用于处理外部数据库,而不是wp的一部分它自己。在最重要的是,当涉及到任何与wordpress相关的内容时,它应该是只读的。 大多数代码执行的风险是(a)直接访问代码,以及(b)让代码执行未经审查的操作核心。很多其中一个问题涉及到一些函数,这些函数可以操纵图像或允许不同形式的上传,而不需要适当的处理审查。它这是一件非常简单的事情,每次添加一个可以直接将文件写入服务器的函数时,都会增加一定程度的编码错误风险导致一个问题,或缺乏消毒导致虐待。 我明白你不能阻止人们这样做这个。它是他们的乔奇。不过, wordpress.org网站可以选择是否允许插件和主题成为他们系统的一部分(类似于,苹果应用商店)并可以申请标准。等等编码员把它调到稍微高一点的sta

admin_action_{$_REQUEST[‘action’]}

do_action( "admin_action_{$_REQUEST[‘action’]}" )动作钩子::在发送“Action”请求变量时激发。Action Hook: Fires when an ‘action’ request variable is sent.目录锚点:#说明#源码说明(Description)钩子名称的动态部分$_REQUEST['action']引用从GET或POST请求派生的操作。源码(Source)更新版本源码位置使用被使用2.6.0 wp-admin/admin.php:...

日期:2020-09-02 17:44:16 浏览:1173

admin_footer-{$GLOBALS[‘hook_suffix’]}

do_action( "admin_footer-{$GLOBALS[‘hook_suffix’]}", string $hook_suffix )操作挂钩:在默认页脚脚本之后打印脚本或数据。Action Hook: Print scripts or data after the default footer scripts.目录锚点:#说明#参数#源码说明(Description)钩子名的动态部分,$GLOBALS['hook_suffix']引用当前页的全局钩子后缀。参数(Parameters)参数类...

日期:2020-09-02 17:44:20 浏览:1071

customize_save_{$this->id_data[‘base’]}

do_action( "customize_save_{$this->id_data[‘base’]}", WP_Customize_Setting $this )动作钩子::在调用WP_Customize_Setting::save()方法时激发。Action Hook: Fires when the WP_Customize_Setting::save() method is called.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分,$this->id_data...

日期:2020-08-15 15:47:24 浏览:808

customize_value_{$this->id_data[‘base’]}

apply_filters( "customize_value_{$this->id_data[‘base’]}", mixed $default )过滤器::过滤未作为主题模式或选项处理的自定义设置值。Filter Hook: Filter a Customize setting value not handled as a theme_mod or option.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分,$this->id_date['base'],指的是设置...

日期:2020-08-15 15:47:24 浏览:900

get_comment_author_url

过滤钩子:过滤评论作者的URL。Filter Hook: Filters the comment author’s URL.目录锚点:#源码源码(Source)更新版本源码位置使用被使用 wp-includes/comment-template.php:32610...

日期:2020-08-10 23:06:14 浏览:931

network_admin_edit_{$_GET[‘action’]}

do_action( "network_admin_edit_{$_GET[‘action’]}" )操作挂钩:启动请求的处理程序操作。Action Hook: Fires the requested handler action.目录锚点:#说明#源码说明(Description)钩子名称的动态部分$u GET['action']引用请求的操作的名称。源码(Source)更新版本源码位置使用被使用3.1.0 wp-admin/network/edit.php:3600...

日期:2020-08-02 09:56:09 浏览:879

network_sites_updated_message_{$_GET[‘updated’]}

apply_filters( "network_sites_updated_message_{$_GET[‘updated’]}", string $msg )筛选器挂钩:在网络管理中筛选特定的非默认站点更新消息。Filter Hook: Filters a specific, non-default site-updated message in the Network admin.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分$_GET['updated']引用了非默认的...

日期:2020-08-02 09:56:03 浏览:865

pre_wp_is_site_initialized

过滤器::过滤在访问数据库之前是否初始化站点的检查。Filter Hook: Filters the check for whether a site is initialized before the database is accessed.目录锚点:#源码源码(Source)更新版本源码位置使用被使用 wp-includes/ms-site.php:93910...

日期:2020-07-29 10:15:38 浏览:834

WordPress 的SEO 教学:如何在网站中加入关键字(Meta Keywords)与Meta 描述(Meta Description)?

你想在WordPress 中添加关键字和meta 描述吗?关键字和meta 描述使你能够提高网站的SEO。在本文中,我们将向你展示如何在WordPress 中正确添加关键字和meta 描述。为什么要在WordPress 中添加关键字和Meta 描述?关键字和说明让搜寻引擎更了解您的帖子和页面的内容。关键词是人们寻找您发布的内容时,可能会搜索的重要词语或片语。而Meta Description则是对你的页面和文章的简要描述。如果你想要了解更多关于中继标签的资讯,可以参考Google的说明。Meta 关键字和描...

日期:2020-10-03 21:18:25 浏览:1734

谷歌的SEO是什么

SEO (Search Engine Optimization)中文是搜寻引擎最佳化,意思近于「关键字自然排序」、「网站排名优化」。简言之,SEO是以搜索引擎(如Google、Bing)为曝光媒体的行销手法。例如搜寻「wordpress教学」,会看到本站的「WordPress教学:12个课程…」排行Google第一:关键字:wordpress教学、wordpress课程…若搜寻「网站架设」,则会看到另一个网页排名第1:关键字:网站架设、架站…以上两个网页,每月从搜寻引擎导入自然流量,达2万4千:每月「有机搜...

日期:2020-10-30 17:23:57 浏览:1309