WordPress转义评论内容,防止恶意代码-蚂蚁资源

WordPress转义评论内容,防止恶意代码

当评论者添加评论的时候,WordPress默认不转义评论内容中的所有代码,这就意味着评论者在评论中输入 html 代码,其他访客查看到的评论就是被浏览器解释过的html内容!,上面说得可能很抽象,你可以尝试给你的文章添加以下评论内容:, 评论添加成功后,是不是看到一个链接”送钱啦”呢?你点击看一下是什么效果。如果看不到”送钱啦”链接而是以上html代码,恭喜你,你的博客挺安全的,以下内容可看可不看。, 其实上面的代码只是超链接,没有任何恶意。但是你应该提高警惕了,并不是所有的评论者都是善意的,他们可能会往评论内容中添加恶意代码(典型方式:广告链接等)!另外,WordPress 2.9.2及以下版本存在一个漏洞,允许博客管理员身份的用户在评论中添加跨站攻击代码,这就意味这管理员身份可对博客进行
跨站攻击,当然你可能会问,博客管理员怎么会攻击自己的博客呢?试想,你的博客管理员账号被人破解了怎么办?不过这样的概率挺小哦。,解决办法,即使你的博客管理后台的管理员身份被人破解了,一般他也不会同时破解你的网站空间ftp账号,所以他也更改不了你的网站文件,你可以更改WordPress源文件代码过滤评论,这样不管是谁的评论都过滤一遍。打开当前使用的主题目录下的functions.php,在将第一个 <?php 替换成:,以上方法是将评论内容中的代码转义,这样浏览器就不解释这部分代码了,代码也不会起任何作用,并且可以直接看到评论中的代码。这么改的好处是可以在评论中展示代码,另外可以看看到底哪些人在评论中添加了恶意代码。如果你希望去除所有代码标签,只留下文字内容,请将以上代码改成: ,关于strip_tags过滤函数,可以看看php的
strip_tags说明文档,总之还是那句话,为了你的网站安全,不要信任用户输入的任何内容!,<a href=”http://www.example.com”>送钱啦</a>

1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,默认解压密码为"www.antziyuan.com",如遇到无法解压的请联系管理员!

蚂蚁资源 » WordPress转义评论内容,防止恶意代码

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
该资源仅供学习和研究传播,大家请在下载后24小时内删除,一切关于该资源商业行为与我们无关。 请勿将该软件进行商业交易、转载等行为,该软件只为研究、学习所提供,该软件使用后发生的一切问题与本站无关。
提示下载完但解压或打开不了?
最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
找不到素材资源介绍文章里的示例图片?
对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
蚂蚁资源
大家都喜欢的资源网站!
  • 47会员总数(位)
  • 793资源总数(个)
  • 3本周发布(个)
  • 0 今日发布(个)
  • 173稳定运行(天)

提供最优质的资源集合

立即查看 了解详情
升级SVIP尊享更多特权立即升级