クリーニング

エスケープ

WordPressテーマで多くのクリーンアップを行い、脫出する必要があります。実際、セキュリティ上の理由から、最良の方法は、すべての動(dòng)的なデータ、つまりHTMLソースコードでハードコードされていないデータをクリーン/エスケープすることです。

WordPress検証function

多くの便利なPHP関數(shù)を使用して基本的な検証を?qū)g行できます。 たとえば、

false

を使用できます。 しかし、検証を簡(jiǎn)単にするために、WordPressはこれらの有用な機(jī)能を提供します。 empty()

関數(shù)を使用して、データが有効な電子メールアドレスであるかどうかを確認(rèn)できます。

• 例：is_email( $email )

   if ( is_email( 'test@domain.com' ) ) {
     echo '有效的電子郵件地址。';
   }

• 有効なユーザー名を確認(rèn)するには、WordPressが

  ：username_exists( $username )を提供します

   $username = 'testuser';
   if ( username_exists( $username ) ):
     echo "用戶(hù)名已存在。";
   endif;

• タグ、カテゴリ、またはその他の分類(lèi)學(xué)的用語(yǔ)が存在することを確認(rèn)するには、

  ：term_exists( $term, $taxonomy = '', $parent = null )を使用できます。

   // 檢查類(lèi)別“cats”是否存在
   $term = term_exists('cats', 'category');
   if ($term !== 0 && $term !== null) {
     echo "“cats”類(lèi)別存在。";
   }

• ファイルパスが有効であることを確認(rèn)するには（存在する場(chǎng)合はそうではありません）、

  ：validate_file( $file, $allowed_files )を使用します

   $path = 'uploads/2017/05/myfile.php';
   // 返回 0（有效路徑）
   return validate_file( $path );

WordPress Cleanup/Escape Function ビルトインWordPress関數(shù)を使用してデータをクリーニングおよびエスケープすることは、これを行うための最も速くて安全な方法です。

以下は、WordPressテーマを開(kāi)発するときによく使用する機(jī)能です。

• 有効な電子メールアドレスで許可されていないすべての文字を削除します。これは、コーデックスエントリの例です：

  sanitize_email( $email )

   $sanitized_email = sanitize_email(' admin@example.com!  ');
   // 將輸出：admin@example.com
   echo $sanitized_email;

• カスタマイザー入力からの値など、オプションの性質(zhì)に応じてオプション値をクリーンアップします。例は次のとおりです。

  sanitize_option( $option, $value )

   sanitize_option( 'admin_email', 'admin@test.com!' );

• ユーザーまたはデータベースが提供する文字列をクリーンアップしますが、それを使用して、単なるテキストにしたいデータをクリーンアップできます：

  sanitize_text_field( $str )

   // 輸出：標(biāo)題
   echo sanitize_text_field('<h1>標(biāo)題</h1>');

• および

  WordPressカスタマイザーのコンテキストで機(jī)能します。 sanitize_hex_color( $color ) sanitize_hex_color_no_hash( $color )テーマは、ユーザーがさまざまなWebサイト要素の色を選択できるようにする場(chǎng)合に非常に便利です。

  最初の関數(shù)は、＃シンボルが付けられた16進(jìn)の色の入力を検証しますが、2番目の関數(shù)は＃なしでカラーデータを処理します。

  WordPress.orgコードリファレンスの例：

   $wp_customize->add_setting( 'accent_color', array(
     'default' => '#f72525',
     'sanitize_callback' => 'sanitize_hex_color',
   ) );

フィルターコンテンツ、許可されたHTMLタグのみが殘ります。カスタマイザーのコンテキストでは、これはユーザーがHTML形式でテキストを入力できる場(chǎng)合に非常に便利です。

• wp_kses_post( $data )

   function yourtheme_sanitize_html( $input ) {
     return wp_kses_post( force_balance_tags( $input ) );
   }

  は、HTMLブロックを逃れる簡(jiǎn)単な方法です。たとえば、HTMLタグ內(nèi)にテキストを出力して、このテキスト自體にHTMLタグやその他の無(wú)効な文字が含まれていないことを確認(rèn)する場(chǎng)合は、次のように書(shū)くことができます。

• esc_html( $text )

  は、HREFおよびSRCプロパティのURLを含むURLをチェックおよびクリーニングする場(chǎng)合に役立ちます。たとえば、

   <h2><?php echo esc_html( $title ); ?></h2>

• 動(dòng)的出力HTML屬性の場(chǎng)合は< esc_url( $url )

   <a href="http://miracleart.cn/link/9e52112668804599bae71e241e4b4548'https://website.com' ); ?>">很棒的網(wǎng)站</a>

• を使用して、ユーザーがテキスト領(lǐng)域で入力したテキストを逃れることができます。

  esc_attr( $text )

   <a href="http://miracleart.cn/link/1649f854581e9c03bc2c4e06023c5b99'/' ) ); ?>" rel="home"></a>

リソース

• esc_textarea( $text )以下の優(yōu)れたリソースは、WordPressテーマでセキュリティコードを作成するポイントに本當(dāng)に到達(dá)するのに非常に役立ちます：

  WordPress.orgテーママニュアルのテーマセキュリティ
  • テーマセキュリティ
  • 安全なライティングトピックガイド、フランククライン
  • WordPress、Narayan Prustyのデータを清掃、脫出、検証します
  • WordPressテーマ：XSSの脆弱性と安全なコーディングプラクティス、Tony Perez
  • WordPressのセキュアプラグインとテーマの作成、Ben Lobaugh。
  または、ホスティングプロバイダーがWordPressセキュリティをどのように役立つかを?qū)Wぶことができます。
  テーマ開(kāi)発自體に興味がある場(chǎng)合は、SitePointの「最初のWordPressテーマを構(gòu)築する」コース：プレーヤーのロード...

  結(jié)論

  セキュリティは、すべてのWordPress開(kāi)発者のトップでなければなりません。 WordPressは、テーマに挿入できる多數(shù)の既製の機(jī)能を提供することから、良いスタートを切ることができます。
  したがって、WordPressを使用して検証およびクリーン/エスケープ機(jī)能を使用することは、安全で信頼できるWordPressテーマの作成を開(kāi)始できる最も簡(jiǎn)単な方法です（ユーザーは信頼を?qū)Wびます）。
  WordPressテーマやプラグインを書(shū)く際にセキュリティはどれくらいと考えていますか？セキュリティの問(wèn)題をどのように解決しますか？
  下のコメントボックスをクリックして共有してください！

  WordPressテーマの検証とエスケープ関數(shù)についての FAQ

  WordPressコーディング基準(zhǔn)は何ですか、そしてなぜそれらが重要なのですか？

  WordPressコーディング標(biāo)準(zhǔn)は、WordPressコードの一貫性と品質(zhì)を確保するために、WordPressによって策定された特定のルールとガイドラインのセットです。これらの標(biāo)準(zhǔn)は、コードが読み取り、理解、維持を容易にするため、重要です。また、一般的なエンコードエラーやセキュリティの脆弱性を防ぐのにも役立ちます。開(kāi)発者にとって、これらの標(biāo)準(zhǔn)に従うことは、テーマとプラグインがWordPressやその他のテーマとプラグインと互換性があることを確認(rèn)するために不可欠です。

  WordPressコードを安全に編集する方法は？

  WordPressコードの編集は、適切に行われない場(chǎng)合は危険です。テーマコードを変更するときにサブトピックを使用することをお?jiǎng)幛幛筏蓼?。これにより、元のテーマに影響を與えることなく変更を加えることができます。また、変更を加える前に、必ずWebサイトをバックアップしてください。 WordPressエディターの代わりに適切なコードエディターを使用して、コードを編集します。最後に、ライブサイトに適用する前に、ステージングサイトで変更をテストします。

  定性分析におけるコードとトピックの違いは何ですか？

  定性分析では、コードはデータのラベル付け、コンパイル、整理に使用されますが、トピックはデータのパターンと関係を識(shí)別するために使用されます。コードは通常、特定のデータを表す単語(yǔ)またはフレーズです。一方、トピックはより広範(fàn)であり、エンコードされたデータから生じるより大きな概念またはアイデアを表しています。

  テーマコーディングとは何ですか？また、WordPressでどのように機(jī)能しますか？

  テーマコーディングは、データのパターンまたはトピックを識(shí)別および分析するための定性的研究で使用される方法です。 WordPressでは、テーマコーディングは、特定のデザインまたは機(jī)能を備えたテーマを開(kāi)発するプロセスを參照できます。これには、トピックの意図したデザインまたは機(jī)能を反映する方法でコードを作成および整理することが含まれます。

  WordPressの検証および脫出機(jī)能は何ですか？

  検証および脫出機(jī)能は、WordPressのセキュリティ対策です。検証とは、ユーザーが入力したデータをチェックして、処理前に特定の條件を満たすことを確認(rèn)するプロセスです。 Escapeは、セキュリティの脆弱性を引き起こす可能性のある有害なデータを削除することにより、出力が安全であることを保証するプロセスです。これらの機(jī)能は、SQLインジェクションやクロスサイトスクリプト（XSS）などのセキュリティの問(wèn)題を防ぐために重要です。

  WordPressでデータを検証してエスケープすることが重要なのはなぜですか？

  WordPressのWebサイトを安全に保つためには、

  検証および脫出データが非常に重要です。これらのプロセスがなければ、あなたのウェブサイトを攻撃し、攻撃者があなたのウェブサイトに有害なデータを注入することができ、その結(jié)果、潛在的なデータ損失またはあなたのウェブサイトへの不正アクセスが得られます。

  WordPressでデータを検証して脫出する方法は？

  WordPressは、データを検証および逃げるためのいくつかの関數(shù)を提供します。たとえば、sanitize_text_field()関數(shù)を使用してテキスト入力を検証し、esc_html()関數(shù)を使用してHTML出力をエスケープできます。ユーザー入力を処理したり、データをブラウザに出力したりするときは、必ずこれらの機(jī)能を使用してください。

  安全なWordPressコードを書(shū)くためのベストプラクティスは何ですか？

  安全なWordPressコードを作成するためのいくつかのベストプラクティスには、WordPressコーディング標(biāo)準(zhǔn)に従うこと、すべてのデータの検証と脫出、NONCEを使用してリクエストのソースを検証し、アクションを?qū)g行する前にユーザー許可を確認(rèn)し、WordPress、テーマ、プラグインを維持することが含まれます。日付。

  WordPressコーディング標(biāo)準(zhǔn)の詳細(xì)についてはどうすればよいですか？

  WordPress Developer Manualは、WordPressコーディング標(biāo)準(zhǔn)を?qū)W習(xí)するための優(yōu)れたリソースです。標(biāo)準(zhǔn)の詳細(xì)な説明と例を提供します。また、WordPressコーディング標(biāo)準(zhǔn)をカバーする多くのオンラインチュートリアルとコースもあります。

  WordPressをエンコードするときに避けるべき一般的な間違いは何ですか？

  WordPressをエンコードするときに避けるべきいくつかの一般的な間違いは、WordPressエンコード標(biāo)準(zhǔn)に従わないこと、データの検証または脫出、ハードコード化されたURL、フォームの提出にNonCEを使用せず、WordPress、テーマ、プラグインを使用しないことを含めます。 。