Ich habe einen Kommentar von jemandem, der mir überlegen ist, dass ich einige Kommentare in zwei PHP-Schnipsel entkommen möchte, die ich unten gepostet habe. Das Problem ist, ich weiß nicht, wie ich das machen soll. Kann mir jemand helfen, indem ich die Schnipsel modifiziere?Entweichende nicht vertrauenswürdige Daten in PHP für mein WordPress Theme
Kommentar Ich habe:
Kommentar # 1:
Validate und/oder Desinfizieren nicht vertrauenswürdige Daten, bevor sie in die Datenbank eingeben. Alle nicht vertrauenswürdigen Daten sollten vor der Ausgabe maskiert werden.
Code Snippet # 1:
<?php
if (get_header_image() && !('blank' == get_header_textcolor())) {
echo '<div class="site-branding header-background-image" style="background-image: url(' . get_header_image() . ')">';
} else {
echo '<div class="site-branding">';
}
?>
Code Snippet # 2:
<?php
printf(
/* translators: %1$s = text link: sangeet, URL: http://wordpress.org/themes/sangeet/, %2$s = text link: Kiran Kumar Dash, URL: https://twitter.com/TheKiranDash */
__('Theme: %1$s by %2$s', 'sangeet'),
'<a href="http://wordpress.org/themes/sangeet/" rel="nofollow">' . esc_attr('sangeet', 'sangeet') . '</a>',
'<a href="https://twitter.com/TheKiranDash" rel="designer nofollow">' . esc_attr__('Kiran Kumar Dash', 'sangeet') . '</a>');
?>
Kommentar # 2: esc alle get_permalink() in content.php
Code-Snippet # 3
<?php
if (!is_single()) {
echo '<div class="index-box">';
if (has_post_thumbnail()) {
echo '<div class="small-index-thumbnail clear">';
echo '<a href="' . get_permalink() . '" title="' . __('Read ', 'sangeet') . get_the_title() . '" rel="bookmark">';
echo the_post_thumbnail('index-thumb');
echo '</a>';
echo '</div>';
}
}
?>
Mein Ansatz:
I verwendet esc_url die get_permalink() im Code-Schnipsel esc. Soll ich esc_all benutzen? Oder esc_url ist in Ordnung.
<?php
if (!is_single()) {
echo '<div class="index-box">';
if (has_post_thumbnail()) {
echo '<div class="small-index-thumbnail clear">';
echo '<a href="' . esc_url(get_permalink()) . '" title="' . __('Read ', 'sangeet') . get_the_title() . '" rel="bookmark">';
echo the_post_thumbnail('index-thumb');
echo '</a>';
echo '</div>';
}
}
?>
dies eher ein Wordpress Thema ist dann ein PHP ein. Sie erwähnen Desinfizierungsinformationen, bevor Sie eine Datenbank erreichen, ich sehe nichts davon. Ich kann eine sehr gute Hygienefunktion bereitstellen, aber ich bin nicht sicher, was Sie genau brauchen – iGNEOS
@iGNEOS. Danke für die Antwort. Ich habe etwas saniert. Aber ich bekomme Probleme mit dem HTML. Können Sie mir helfen, während der Ausgabe Werte zu umgehen? –
gut in php, es gibt "strip_tags" funktion gibt es die "htmlentities" funktion andere. Definieren Sie, was Sie mit Flucht meinen? Um XSS zu verhindern? SQL-Injektion? Was ist der Zweck hier? – iGNEOS