0

WordPress カスタム フィールドのデータを MySQL データベースではなくカスタム ファイルに挿入する方法はありますか?

私がこれをしたい理由は、カスタム フィールドをユーザー用の一種の PHP サンドボックスとして設定しようとしていてinclude filename.php、テンプレート ファイルで使用するだけで、データベースへの PHP データの挿入とセキュリティの脆弱性を回避したいからです。これに伴い、さらに悪いことにeval、データがデータベースから取得された後に使用する必要があります。

これを達成するための他の提案を受け入れますが、データをランダムなphpファイルに保存し、データベースを完全に回避するのが最も簡単だと思います.

4

1 に答える 1

1

これを前置きして、次のように述べさせてください。

これは悪い考えです

あなたのアイデアは、エンド ユーザーに PHP スクリプトをアップロードしてもらい、それをサーバー上で実行することです。攻撃者が次のようなスクリプトをアップロードするのを阻止するにはどうすればよいですか:

<?php
// get a list of all of the wp-config.php files available to this user
$configs = shell_exec("cd ~ && find `pwd` -name wp-config.php");
// go through every match and email the contents 
// of the file to my super secret hacker email or whatever
// btw i now have mysql credentials for all of your wp sites.
?>

そして、それは想像力さえありません。

それはここでそれを行う方法です

WP サイトのプラグインとしてhttps://github.com/fyaconiello/WP_Bad_Ideaをダウンロードしてインストールします

次に、これをテーマに追加しますsingle-attack_post.php

<h3>THE CODE</h3>
<pre>
<?php include($post->attack_code); ?>
</pre>
于 2013-01-12T22:09:26.513 に答える