खोज…


वाक्य - विन्यास

  • esc_html (स्ट्रिंग $ टेक्स्ट)
  • esc_url (स्ट्रिंग $ url, सरणी $ प्रोटोकॉल, स्ट्रिंग $ _context)
  • esc_js (स्ट्रिंग $ पाठ)
  • wp_json_encode (मिश्रित $ डेटा, इंट $ विकल्प, int $ गहराई = 512)
  • esc_attr (स्ट्रिंग $ टेक्स्ट)
  • esc_textarea (स्ट्रिंग $ पाठ)

टिप्पणियों

विकास करते समय सुरक्षा हमेशा ध्यान में होनी चाहिए। बिना सुरक्षा के एक ऐप विभिन्न हमलों जैसे कि SQL इंजेक्शन, XSS, CSRF, RFI आदि के लिए खुला है, जिससे गंभीर समस्याएं हो सकती हैं।

अविश्वसनीय डेटा कई स्रोतों (उपयोगकर्ताओं, तृतीय पक्ष साइटों, आपके स्वयं के डेटाबेस !,) से आता है और इन सभी को इनपुट और आउटपुट दोनों पर मान्य करने की आवश्यकता होती है। (स्रोत: वर्डप्रेस कोडेक्स)

उपयोग और उद्देश्य के आधार पर डेटा को वैध, साफ या बच जाना चाहिए।

मान्य करना यह सुनिश्चित करने के लिए है कि उपयोगकर्ता द्वारा आपके द्वारा प्रस्तुत किए गए डेटा से जो उन्होंने प्रस्तुत किया है। (स्रोत: वर्डप्रेस कोडेक्स)

उपयोगकर्ता डेटा को स्वीकार करने के लिए एक दृष्टिकोण से थोड़ा अधिक उदार है। स्वीकार्य इनपुट की एक सीमा होने पर हम इन विधियों का उपयोग करके वापस गिर सकते हैं। (स्रोत: वर्डप्रेस कोडेक्स)

भागने के लिए आपके पास पहले से मौजूद डेटा को लेना है और अंतिम उपयोगकर्ता के लिए इसे प्रदान करने से पहले इसे सुरक्षित करने में मदद करना है। (स्रोत: वर्डप्रेस कोडेक्स)

HTML कोड में डेटा से बच

esc_html का उपयोग कभी भी किया जाना चाहिए, हम HTML कोड के अंदर डेटा आउटपुट कर रहे हैं।

<h4><?php echo esc_html( $title ); ?></h4>

एक url बच

<a href="<?php echo esc_url( home_url( '/' ) ); ?>">Home</a>

<img src="<?php echo esc_url( $user_picture_url ); ?>" />

जेएस कोड में डेटा से बच

esc_js() एक टैग विशेषता के अंदर इनलाइन JS के लिए उपयोग करने का इरादा है।

<script> wp_json_encode() <script> टैग के अंदर डेटा के लिए wp_json_encode() उपयोग करें।

<input type="text" onfocus="if( this.value == '<?php echo esc_js( $fields['input_text'] ); ?>' ) { this.value = ''; }" name="name">

wp_json_encode() JSON में एक वैरिएबल एनकोड करता है, जिसमें कुछ पवित्रता की जाँच होती है।

ध्यान दें कि wp_json_encode() में स्वचालित रूप से स्ट्रिंग-परिसीमन उद्धरण शामिल हैं।

<?php
$book = array(
    "title" => "JavaScript: The Definitive Guide",
    "author" => "Stack Overflow",
);
?>
<script type="text/javascript">
var book = <?php echo wp_json_encode($book) ?>;
/* var book = {
    "title": "Security in WordPress",
    "author" => "Stack Overflow",
}; */
</script>

या

<script type="text/javascript">
    var title = <?php echo wp_json_encode( $title ); ?>;
    var content = <?php echo wp_json_encode( $content ); ?>;
    var comment_count = <?php echo wp_json_encode( $comment_count ); ?>;
</script>

भागने के गुण

<input type="text" value="<?php echo esc_attr($_POST['username']); ?>" />

Textarea में डेटा से बच

<textarea><?php echo esc_textarea( $text ); ?></textarea>


Modified text is an extract of the original Stack Overflow Documentation
के तहत लाइसेंस प्राप्त है CC BY-SA 3.0
से संबद्ध नहीं है Stack Overflow