{"id":230298,"date":"2022-12-09T11:17:00","date_gmt":"2022-12-09T08:17:00","guid":{"rendered":"https:\/\/wordpress.mediadoma.com\/?p=230298"},"modified":"2022-12-07T11:58:51","modified_gmt":"2022-12-07T08:58:51","slug":"bezpieczne-przesylanie-formularzy-wordpress","status":"publish","type":"post","link":"https:\/\/wordpress.mediadoma.com\/pl\/bezpieczne-przesylanie-formularzy-wordpress\/","title":{"rendered":"Bezpieczne przesy\u0142anie formularzy WordPress"},"content":{"rendered":"\n

Lata temu napisa\u0142em post, w kt\u00f3rym udost\u0119pni\u0142em funkcj\u0119 publiczn\u0105, aby ustali\u0107, czy u\u017cytkownik ma uprawnienia do zapisywania informacji w bazie danych WordPressa. Orygina\u0142 w ca\u0142ej okaza\u0142o\u015bci (wraz z solidnymi komentarzami) mo\u017cecie zobaczy\u0107 tutaj<\/a><\/strong> (ma nawet pi\u0119\u0107 lat \u2013 wow).<\/p>\n

Jak w przypadku wszystkiego, co jest zwi\u0105zane z programowaniem, czas p\u0142ynie, rzeczy s\u0105 udoskonalane i [miejmy nadziej\u0119] staj\u0105 si\u0119 lepsze ni\u017c wcze\u015bniej.<\/p>\n

Chocia\u017c nadal u\u017cywam i polecam wariant funkcji user_can_save<\/strong> (lub userCanSave<\/strong> ), uwa\u017cam r\u00f3wnie\u017c, \u017ce wa\u017cne jest, aby przej\u015b\u0107 przez proces wyodr\u0119bniania procesu weryfikacji \u017c\u0105dania.<\/p>\n

Wi\u0119c teraz nie chodzi tylko o ustalenie, czy u\u017cytkownik ma uprawnienia, ale o weryfikacj\u0119 informacji o zabezpieczeniach pochodz\u0105cych od klienta \u2013 czy to za po\u015brednictwem poczty z powrotem do serwera, czy \u017c\u0105dania wys\u0142anego przez Ajax \u2013 i zrobienie tego przy u\u017cyciu dobrych technik programowania, kt\u00f3re s\u0105 zgodne zar\u00f3wno z WordPress, jak i z PHP.<\/p>\n

Aby by\u0142o jasne, chodzi bardziej o bezpieczne przesy\u0142anie formularzy WordPress ze strony opcji lub strony ustawie\u0144 ni\u017c, powiedzmy, formularz pochodz\u0105cy z szablonu. To kolejny post na inny czas.<\/p>\n

Ale wci\u0105\u017c jest wielu z nas pracuj\u0105cych nad tworzeniem aplikacji na WordPressie, kt\u00f3re wymagaj\u0105 nast\u0119puj\u0105cych rzeczy.<\/p>\n

Bezpieczne przesy\u0142anie formularzy WordPress<\/h2>\n

W tym po\u015bcie nie zamierzam przejmowa\u0107 si\u0119 szczeg\u00f3\u0142ami okre\u015blania, czy co\u015b jest autozapisem<\/a><\/strong>, czy wersj\u0105 postu.<\/a><\/strong><\/p>\n<\/p>\n

Jednak zamierzam przej\u015b\u0107 przez proces przejmowania funkcji odpowiedzialnej za walidacj\u0119 przychodz\u0105cych informacji i robienia tego przy u\u017cyciu nowoczesnego podej\u015bcia z wykorzystaniem praktyk zorientowanych obiektowo oraz zar\u00f3wno API WordPressa, jak i funkcji PHP.<\/p>\n

1 Zaczynaj\u0105c od poziomu og\u00f3lnego<\/h3>\n

Z poziomu podstawowego za\u0142\u00f3\u017cmy, \u017ce istnieje klasa bazowa, z kt\u00f3rej istniej\u0105 inne podklasy wykorzystuj\u0105ce t\u0119 funkcj\u0119. To m\u00f3wi nam, \u017ce musimy u\u017cy\u0107 chronionego modyfikatora widoczno\u015bci.<\/p>\n

Wiemy r\u00f3wnie\u017c, \u017ce b\u0119dziemy mieli do czynienia z warto\u015bci\u0105 WordPress nonce i powi\u0105zan\u0105 akcj\u0105. Oznacza to, \u017ce podpis funkcji b\u0119dzie wygl\u0105da\u0142 mniej wi\u0119cej tak<\/a><\/strong> :<\/p>\n

<?php\nprotected function verifyRequest($nonce, $action);<\/code><\/pre>\n
2 Oczy\u015b\u0107 dane, zweryfikuj nico\u015b\u0107<\/h3>\n
Jak na wszystko, co jest wysy\u0142ane na serwer, wiemy, \u017ce b\u0119dziemy musieli zweryfikowa\u0107, czy dane s\u0105 ustawione, a je\u015bli tak, b\u0119dziemy musieli oczy\u015bci\u0107 informacje.<\/p>\n
Oznacza to, \u017ce b\u0119dziemy potrzebowa\u0107 nast\u0119puj\u0105cych funkcji:<\/p>\n