`home_url`的安全威胁?

时间:2017-11-11 作者:T.Todua

在内置功能的文档中home_url, 据说用于esc_url. 如果不使用,是否存在任何安全威胁home_url? 有人能用假请求欺骗它吗?

1 个回复
SO网友:Drupalizeme

法典规定:

清理url时始终使用esc\\u url(in text nodes, attribute nodes or anywhere else). 拒绝没有提供的白名单协议之一的URL(默认为http、https、ftp、ftps、mailto、news、irc、gopher、nntp、feed和telnet),消除无效字符,并删除危险字符。替换3.0中不推荐使用的clean\\u url()。

此外,这个小助手函数背后的力量是

get_option( \'home\' );
这将是用户输入,您始终不信任用户输入。这还有助于输出有效的标记。

结束
标签: security   小码农  

相关推荐

Contact Form Security

在Wordpress中构建我自己的联系人表单。除了典型的电子邮件etc验证和可能的验证码之外,我还需要考虑任何其他安全步骤。我没有向数据库发送任何数据。