Eldobható száma nonce wordpress
A bevezetőben már említettük, hogy a jogot, hogy ellenőrizze kétféle megközelítés létezik: a „felhasználói jogok ellenőrizni”, és kiegészíti ezt az ellenőrzést „Egyszer számokat.”
„Egyszer számok” - egyfajta token a WordPress - véletlenül teremtett egy sor 10 karakter, például bec698e7ea. amely lehet ismételni egy rövid ideig (24 óra). Ie létre és ellenőrizze ezt a számot csak akkor használható, 24 órán át, utána ugyanezt a műveletet visszatér egy másik „szám”.
A részleteket lásd. Wp_create_nonce leírását function ()
Példa munka Nonce
Elmentünk az admin felületen a beállítások, amikor belépnek a generált forma, ahol az egyik mező - ez «nonce érték.” Mi változott az adatokat, és nyomja meg a „Mentés” gombra. Az az adatok feldolgozására, kivéve a hozzáférési ellenőrzés (current_user_can ()) WordPress nonce ellenőrzi, hogy a több konvergáló. Ha most az egyszer nem konvergál, a kérelmet a adatmentés sikertelen.
Nem vesszük észre ezeket nonce ellenőrzéseket, hiszen általában minden történik gyorsan. De ha például menj a beállítások oldalt az admin felületre, várjon 24 órát, majd próbálja menteni az adatokat, a módosítások nem lesznek mentve, mert az egyszer ellenőrzést vezetünk.
Miért ellenőrizni „eldobható szám”?
Tedd az adminisztrátor böngésző ment a kapcsolat, akkor lehet sok.
Például hozzon létre egy oldalt és használja az alábbi kódot:
Vagy például, levelet írni, hogy az igazgató a helyén, ami úgy néz ki, ártalmatlan csúszás link.
Tehát, hogy ez lehetetlen, hogy egy ilyen trükk, vannak „eldobható száma» (nonce védelem).
nonce funkciók
Ahhoz, hogy ellenőrizzék a számok az egyszeri WordPress öt funkciója:
- wp_nonce_field ($ kereset $ name) - létrehoz egy beviteli mező számát egyszeri formában.
- wp_create_nonce ($ fellépés) - egyszerűen hozzon létre egy egyszeri számot egy string.
- wp_nonce_url ($ url, $ fellépés) - hozzáad egy nonce az URL formájában nyújtják be egy kérési _wpnonce = 9d6bd884a1?
- wp_verify_nonce ($ nonce, $ fellépés) - száma egyszeri ellenőrzéseket.
- check_ajax_referer () - ellenőrzi Ajax kérés megfelelés nonce kódot. Ez megszakítja a forgatókönyvet egy szerszámon keresztül, ha az érvényesítés nem sikerül.
Példa a védelmi Nonce
Ez egy példa a szakasz ellenőrzése felhasználói jogokat. csak fokozta, hogy ez is nonce ellenőrzést.
Amikor létrehoz kapcsolatokat használja wp_create_nonce (). hozzá egy egyszeri hivatkozási számot:
Az argumentum a funkció biztosítja, hogy az egykori szám erre az egyedi intézkedéseket.
Aztán, amikor a kérés feldolgozása, ellenőrizze a számot az egyszeri:
Ellenőrzés a hivatkozó
Ezen kívül van egy csekket Nonce hivatkozó. Kiegészíti az egyszer védelmet. Ez a független ellenőrzés, és ez működik, mint ez: ki a penész át a paraméter, ahol a http_referer. feldolgozásának formái ez az opció be van jelölve, és ha a kérelem nem jött, hogy a kívánt oldalt, az ellenőrzés nem hoz.
Mert hivatkozó ellenőrzések WordPress 3 funkció:
következtetés
Amikor végez semmilyen adatot átalakítási műveleteket, mint például mentse a plugin beállításokat, illetve törölheti a plug-in adatok, mindig győződjön meg róla, hogy a felhasználó jogosult végrehajtani egy műveletet (ellenőrző jogok), és hogy a következő kérdés nem elavult (nonce ellenőrzés).
Kreatív oldalak kreatív emberek ★ digitális marketing