How 'secure' are loops?

时间:2012-10-17 作者:Kyle

我使用循环作为在前端显示个人元和客户信息的手段。

例如,我有一个页面,其中显示要编辑的用户“配置文件”信息。他们的配置文件是在注册时创建的自定义帖子类型。编辑屏幕的循环根据当前用户id查找一个cpt,填充表单字段,提交后更新帖子。这安全吗?

如果不是,有什么更好的方法来处理这种类型的行为?

*--编辑以包含示例代码

这是一个循环示例。这是从供应商销售的商品中提货。GF挂钩使用产品中的元数据预先填充中间的表单,提交后更新帖子。

<?php
$q = new WP_Query( array( \'author\' => $current_user->ID, \'post_type\' => \'product\' ) );
  if ( $q->have_posts() ) {
      while ( $q->have_posts() ) {
         $q->the_post( ); ?>

         <div id="<?php the_id(); ?>" class="tab_content_trip" style="display:none;">
               <?php echo do_shortcode(\'[gravityform id="7" title="false" description="false"  ajax="true"]\'); ?>
         </div>

        <?php }
   wp_reset_postdata();
} ?>
所以我的问题是,是否有人可能以某种方式劫持这样的循环并以某种方式编辑其他用户的帖子?(当然不包括他们是否以某种方式窃取密码或类似性质的东西)

从本质上讲,我想了解安全过滤要显示在前端的用户信息的最佳做法

1 个回复
最合适的回答,由SO网友:Eric Holmes 整理而成

这个循环在我看来很确定。您没有在任何地方公开任何原始SQL,因此不应该发生注入攻击。

结束
标签: wp-query   loop   security   profiles   user-meta   小码农  

相关推荐

随机显示10-Image for Loop中的一个图像

我有一个Wordpress函数,可以循环通过10个输入字段&;保存这些输入字段中的数据。输入的数据是图像的绝对链接或相对链接。循环如下所示。<?php for ($i = 1; $i < 11; $i++) { ?> <input type=\"text\" name=\"<?php echo \'fresh_banner\'.$i ?>\" value=\"<?php echo $settings[\'fresh_banner\'