WordPress
Beveiliging in WordPress - Sanering

Android CSS HTML JavaScript jQuery MySQL PHP Regular Expressions SQL twitter-bootstrap
Zoeken…


Syntaxis

  • sanitize_text_field (string $ str)
  • sanitize_title (string $ title, string $ fallback_title, string $ context)
  • sanitize_email (string $ email)
  • sanitize_html_class (string $ class, string $ fallback)
  • sanitize_file_name (string $ name)
  • sanitize_user (string $ gebruikersnaam, boolean $ strict)

Opmerkingen

Bij het ontwikkelen moet altijd rekening worden gehouden met beveiliging. Zonder beveiliging staat een app open voor verschillende aanvallen zoals SQL-injecties, XSS, CSRF, RFI enz. Die tot ernstige problemen kunnen leiden.

Niet-vertrouwde gegevens zijn afkomstig uit vele bronnen (gebruikers, sites van derden, uw eigen database !, ...) en alles moet zowel op invoer als op uitvoer worden gevalideerd. (Sourse: WordPress Codex)

De gegevens moeten worden gevalideerd, opgeschoond of ontsnapt, afhankelijk van het gebruik en het doel.

Valideren is ervoor zorgen dat de door u gevraagde gegevens van de gebruiker overeenkomen met wat ze hebben ingediend. (Sourse: WordPress Codex)

Sanering is een beetje liberaler van een benadering voor het accepteren van gebruikersgegevens. We kunnen terugvallen op het gebruik van deze methoden wanneer er een bereik van acceptabele invoer is. (Sourse: Wordpress Codex)

Ontsnappen is het nemen van de gegevens die u mogelijk al hebt en deze helpen beveiligen voordat ze voor de eindgebruiker worden weergegeven. (Sourse: WordPress Codex)

Tekstveld opschonen

$title = sanitize_text_field( $_POST['title'] );

Titel opschonen

De geretourneerde waarde is bedoeld als geschikt voor gebruik in een URL, niet als een voor mensen leesbare titel. Gebruik in plaats daarvan sanitize_text_field. 

$new_url = sanitize_title($title);

E-mail opschonen

$sanitized_email = sanitize_email('     [email protected]!     ');

Html-klasse opschonen

$post_class = sanitize_html_class( $post->post_title );
echo '<div class="' . $post_class . '">';

Bestandsnaam opschonen

$incfile = sanitize_file_name($_REQUEST["file"]);
include($incfile . ".php");

Zonder de bestandsnaam op te schonen , kan een aanvaller eenvoudig http: // attacker_site / malicous_page als invoer doorgeven en de code op uw server uitvoeren.

Gebruikersnaam opschonen

$user = sanitize_user("attacker username<script>console.log(document.cookie)</script>");

$ gebruikerswaarde na sanering is "aanvaller gebruikersnaam"



Modified text is an extract of the original Stack Overflow Documentation
Licentie onder CC BY-SA 3.0
Niet aangesloten bij Stack Overflow