- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Всем привет!
Подскажите если кто знает, история вкратце такая – люди с WordPress’а забраковали плагин с формулировкой – “Variables and options must be escaped when echo”. Как я понял из их послания, типа не, не, не, не, нельзя просто брать и выводить echo с html кодом, это типа не безопасно и связано с возможными уязвимостями а-ля Cross-site scripting (XSS). Ну хорошо, подумал я нет проблем, есть функции рекомендуемые для перевода строки с изменением символов и типа все как им надо. НО, когда я использую функцию esc_html(‘<a href="’) она действительно изменяет её и в коде становиться <a href=" - но проблема в том, что в браузере просто код выводится и не работает как html.
Не пойму, как можно и им угодить, и чтобы html код работал как html код.
Если кто-то что-то об этом знает :), то заранее всем спасибо за ответы!Кто-нибудь кто знает английский, скажите мне в двух словах что они от меня хотят.
At this time, we ask you escape all $-variables, options, and any sort of generated data when it is being echoed. That means you should not be escaping when you build a variable, but when you output it at the end. We call this 'escaping late.'
Besides protecting yourself from a possible XSS vulnerability, escaping late makes sure that you're keeping the future you safe. While today your code may be only outputted hardcoded content, that may not be true in the future. By taking the time to properly escape when you echo, you prevent a mistake in the future from becoming a critical security issue.
This remains true of options you've saved to the database. Even if you've properly sanitized when you saved, the tools for sanitizing and escaping aren't interchangeable. Sanitizing makes sure it's safe for processing and storing in the database. Escaping makes it safe to output.
Also keep in mind that sometimes a function is echoing when it should really be returning content instead. This is a common mistake when it comes to returning JSON encoded content. Very rarely is that actually something you should be echoing at all. Echoing is because it needs to be on the screen, read by a human. Returning (which is what you would do with an API) can be json encoded, though remember to sanitize when you save to that json object!
There are a number of options to secure all types of content (html, email, etc). Yes, even HTML needs to be properly escaped.
Remember: You must use the most appropriate functions for the context. There is pretty much an option for everything you could echo. Even echoing HTML safely.
Не пойму, как можно и им угодить, и чтобы html код работал как html код.
И никто не поймёт, не зная, какой код нужно вывести и как он формируется.
искейпить нужно php переменные
html по идее ж можно выводить без echo
И никто не поймёт, не зная, какой код нужно вывести и как он формируется.
искейпить нужно php переменные
html по идее ж можно выводить без echo
что это такая проблема выводить html код с помощью echo,
да причем тут html код?) они пишут про "переменные"... и выше обращали внимание.
да причем тут html код?) они пишут про "переменные"... и выше обращали внимание.
Спасибо за помощь, в общем я пофиксил все как смог, бюрократы WordPress съели.
Да если будете им что-то отправлять то вас могут ждать вот такие предъявы со стороны команды разработчиков и кураторов плагинов их репозитория:
## Tested Up To Value is Out of Date, Invalid, or Missing
The tested up to value in your plugin is not set to the current version of WordPress. This means your plugin will not show up in searches, as we require plugins to be compatible and documented as tested up to the most recent version of WordPress.
В целом при любых раскладах пишите в readme.txt что ваш плагин протестирован с последней текущей версией WordPress, если напишите хоть на пункт ниже будет отворот, поворот.
## Variables and options must be escaped when echo'd
Much related to sanitizing everything, all variables that are echoed need to be escaped when they're echoed, so it can't hijack users or (worse) admin screens. There are many esc_*() functions you can use to make sure you don't show people the wrong data, as well as some that will allow you to echo HTML safely.
Короче, почти весь вывод из подозрительных переменных или просто все если получится обрамить функцией esc_html, типо связано с возможными вопросами уязвимости а-ля XSS vulnerability, и попадании на вывод чет-то там кода html который типо как не желателен, я сам до конца не понял где это делать, а где нет, я заделал все что смог :)
## Generic function/class/define/namespace names
A good way to do this is with a prefix. For example, if your plugin is called "Easy Custom Post Types" then you could use names like these:
function ecpt_save_post()
define( ‘ECPT_LICENSE’, true );
class ECPT_Admin{}
namespace EasyCustomPostTypes;
Don't try to use two (2) or three (3) letter prefixes anymore. We host nearly 100-thousand plugins on WordPress.org alone. There are tens of thousands more outside our servers. Believe us, you’re going to run into conflicts.
Короче название ваших функций должно иметь обязательно префиксы из а-ля 4 символов или может быть можно использовать уникальные пространство имен, т.к. у меня две с половины функции я использовал префиксы перед названиями функций в 4 буковки. Связано это как я понял с тем что у них чет там миллион плагинов и могут быть конфликты в названиях или типа того.
Ну и да мой плагин приняли, как это не странно с моим не умением программирования и криворукостью, зовите меня теперь просто великий Архитектор и разработчик программного обеспечения Димитрий первый :-)
Извиняюсь за корявый текст, лень в Word’е нажимать Правописание и делать вид буд-то бы я знаю грамматику.