ওয়ানাবে ডাব্লুপি প্লাগইন ডেভেলপার হিসাবে, আমার সিকিউরিটি ত্রুটিগুলি / গর্তগুলি কীসের সন্ধান করা উচিত?
আমি একটি কনফিগারেশন প্যানেল (যেমন ইনপুট ক্ষেত্র এবং স্টাফ) দিয়ে একটি নতুন প্লাগইন তৈরি করতে চলেছি। আমার কী সম্পর্কে উদ্বিগ্ন হওয়া উচিত?
উদাহরণস্বরূপ, ডেটা স্যানিটাইজেশন / ডাব্লুপি-অ্যাডমিন / এরিয়ায় থাকাকালীন এত বড় কাজ? দূষিত কেউ সরাসরি আমার প্লাগইন পৃষ্ঠায় আঘাত করতে পারে এবং পোষ্ট অনুরোধ বা এর মতো কিছু পাঠাতে পারে?
ধন্যবাদ!
উত্তর:
থিমগুলি পর্যালোচনা করার জন্য ব্যবহৃত আমার বর্তমান (ওয়ার্ক-ইন-প্রগ্রেস) সেটিংস / ডেটা সুরক্ষা চেকলিস্টের উপর ভিত্তি করে এখানে একটি পরিবর্তিত চেকলিস্ট রয়েছে (থিমগুলির তুলনায় নীতিগুলি প্লাগিনগুলির চেয়ে আলাদা হওয়া উচিত নয়):
প্লাগইনগুলিতে প্লাগইন-স্লাগ সহ সমস্ত বিকল্প, কাস্টম ফাংশন, কাস্টম ভেরিয়েবল এবং কাস্টম ধ্রুবকগুলির উপসর্গ করা উচিত।
প্লাগইনগুলির প্লাগইন বিকল্প এবং প্লাগইন সেটিংস পৃষ্ঠাগুলি ইচ্ছাকৃতভাবে প্রয়োগ করা উচিত, ওয়েবসাইট টিউটোরিয়ালগুলি থেকে অনুলিপি করা যেমন কাস্ট-পেস্ট স্ক্রিপ্টগুলির উপর নির্ভর করে যেমন নীচে রয়েছে, যা পুরানো এবং সঠিক তথ্য সুরক্ষা অন্তর্ভুক্ত নয়:
শীর্ষ স্তরের মেনু যুক্ত করার পরিবর্তে প্লাগইনগুলিতে add_options_page()প্লাগইন সেটিংস পৃষ্ঠাটি Settingsমেনুতে যুক্ত করতে ফাংশনটি ব্যবহার করা উচিত add_menu_page()।
প্লাগইনগুলির সেটিংস পৃষ্ঠা যুক্ত করার সক্ষমতাটির জন্য একটি উপযুক্ত দক্ষতা (উদাহরণস্বরূপ manage_options) ব্যবহার করা উচিত ।
প্লাগইনগুলির সেটিংস পৃষ্ঠার জন্য একাধিক বিকল্প তৈরি করার পরিবর্তে একক অ্যারেতে বিকল্পগুলি সংরক্ষণ করা উচিত। সেটিংস এপিআই এর ব্যবহার (নীচে দেখুন) এটি পরিচালনা করবে।
প্লাগইনগুলিতে সরাসরি ইনফরমেশন $_POSTএবং $_REQUESTডেটা নির্ভর করার পরিবর্তে ফর্ম ইনপুট ডেটা পেতে এবং সংরক্ষণ করতে সেটিংস এপিআই (নীচে দেখুন) ব্যবহার করা উচিত ।
চেকবাক্সগুলি নির্বাচন বিকল্পের জন্য, প্লাগইন ব্যবহার করা উচিত checked()এবং selected()outputting জন্য ফাংশন checked="checked"এবং selected="selected"যথাক্রমে।
প্লাগইনগুলির ডাটাবেসে ডেটা প্রবেশের আগে সমস্ত অবিশ্বস্ত ডেটা বৈধকরণ এবং স্যানিটাইজ করা উচিত এবং সেটিংস ফর্ম ক্ষেত্রগুলিতে আউটপুট হওয়ার আগে এবং থিম টেমপ্লেট ফাইলে আউটপুট হওয়ার আগে সমস্ত অবিশ্বস্ত ডেটা এড়ানো উচিত:
প্লাগইনগুলি esc_attr()পাঠ্য ইনপুটগুলির জন্য এবং esc_html()(বা esc_textarea()ডাব্লুপি 3.1 এ) পাঠ্য পাঠের জন্য ব্যবহার করা উচিত ।
প্লাগইনগুলি সেটিং এপিআই ব্যবহার না করে স্পষ্ট করে সেটিংস-পৃষ্ঠা ননস চেকিং সরবরাহ করতে হবে:
এটিও সুপারিশ করা হয় যে প্লাগইন সেটিংস এপিআই ব্যবহার করুন যা ব্যবহার করা সহজ, আরও সুরক্ষিত এবং সেটিংস পৃষ্ঠাগুলির প্রচুর পরিশ্রমের যত্ন নেয়:
সেটিংস এপিআই ব্যবহার করার বিষয়ে একটি ভাল টিউটোরিয়ালের জন্য, দেখুন:
http://www.chipbennett.net/2011/02/17/incorporating-the-settings-api-in-wordpress-themes/
http://planetozh.com/blog/2009/05/handling-plugins-options-in-wordpress-28-with-register_setting/
আপনি যদি কোনও সুরক্ষিত এবং দৃ -়ভাবে কোডেড থিম সেটিংস পৃষ্ঠা সহ কোনও থিমটি দেখতে চান তবে এই থিমটি দেখুন:
http://wordpress.org/extend/themes/coraline
এই দুটি দিক আছে:
মৌলিক নীতি.
সুনির্দিষ্ট।
defined('ABSPATH') or die('Access denied');প্রত্যেক প্লাগইন এর স্ক্রিপ্ট যা সরাসরি ওয়ার্ডপ্রেস দ্বারা ব্যবহৃত এ