Intereting Posts
Измените сообщение, но сохраните старый Получить локализованное значение WordPress wp_get_attachment_thumb_url full Как проверить, истинна ли отладка, и могу ли я использовать ее для собственного кода? Как эхо JS сразу после установленного сценария, чтобы перевести его в режим noConflict? Миграция с других CMS на WP – потеря SEO-соков? Как добавить тему пользовательской переменной в заголовок сообщения? Можно ли добавить действие к текущему действию? Проблемы с разбивкой по страницам с использованием WP_Paginate Plugin Является ли WordPress 4.0 основным обновлением? как отслеживать предупреждение предупреждения по основной функции is_page () & is_singular в классе-wp-query.php WordPress захватывает первое изображение из галереи Код цикла отображает страницы, но не фактические сообщения Проблемы с 404, .htaccess, permalinks и пользовательскими сообщениями WordPress локально на Snow Leopard Отключить все https в WordPress

Безопасность – инъекция инъекций шорткода

Это, наверное, глупый вопрос. Может ли кто-то потенциально использовать короткую инъекцию инъекций кода?

Что мешает кому-то вводить что-то подобное?

[shortcode]Do something[/shortcode] 

Я уверен, что WP уже подумал об этом, но мне просто интересно, какой механизм безопасности останавливает этот тип инъекционной атаки?

Solutions Collecting From Web of "Безопасность – инъекция инъекций шорткода"

  1. В общем, как и любая другая тема или плагин на вашей системе, нет ничего встроенного, которое может предотвратить все атаки

  2. Короткие коды – это своего рода макросы для генерации HTML. Штрих-коды, которые не делают больше, должны быть безопасными.

  3. Самая большая проблема с короткими кодами заключается в том, что их вставка и «исполнение» не зависят от проверки возможности. Если у вас есть доступный короткий код, даже участник может злоупотреблять им.

Так что делать? Особенно, если вы используете сайт с несколькими авторами, избегайте коротких кодов, которые нарушают пункт 2, особенно те, которые явно позволяют выполнять PHP-код и, как всегда, использовать темы и плагины только из респектабельных источников (к сожалению, популярность почти не имеет никакого отношения к тому, чтобы быть " уважаемый ").

Как и во всем, проблема в коде PHP. Как объяснил Марк, всегда используйте темы и плагины из респектабельных источников. Существует один инструмент RIPS, который вы также можете использовать.