۴
شهریور

جلسه ۱۴ : استفاده Nonces در پلاگین ها

دسته‌بندی‌ها :

جزئیات
نوع محتواآموزشی

فهرست

مقدمه

با عرض سلام و وقت به خیر خدمت کاربران سایت پی وی لرن به ویژه کاربرانی که به سیستم مدیریت محتوای قدرتمند وردپرس علاقمند هستند.
به ” دوره متخصص وردپرس ” خوش آمدید!
در این دوره قرار است توسعه و ارتقاء پلاگین های وردپرس را به صورت جامع و کامل بیاموزیم.
فرقی نمی کند که در شرف نوشتن اولین پلاگین خود هستید و یا این که پنجاهمین پلاگین خود را می نویسید! امیدوارم این دوره برایتان مفید باشد.
در جلسه قبلی آموختیم که چگونه می توان خروجی های یک پلاگین را از طریق Escaping ایمنی سازی نمود.
به طور کلی ایمنی سازی خروجی های پلاگین در واقع فرآیند فرار از داده های خروجی است.
در ادامه این دوره به مبحث Nonces و استفاده Nonces در پلاگین ها می پردازیم.

استفاده Nonces در پلاگین ها

Nonces اعداد تولید شده برای تایید مبدأ و مقصد درخواست است که برای مقاصد امنیتی تولید می شود.
هر Nonce تنها می تواند یک بار استفاده شود.
اگر پلاگین شما به کاربران اجازه ارائه اطلاعات از سمت ادمین، و بخش عمومی سایت را می دهد، باید به آن چه می گویند و آن چه انجام می دهند توجه کنید.
انجام هر دو این عمل ها، به این معنی است که داده ها فقط زمانی تغییر می کنند که کاربر انتظار دارد آن را تغییر دهد.

استفاده از Nonces

با توجه به قابلیت های بررسی کاربر، گام بعدی در تامین امنیت داده ها توسط کاربر، استفاده از nonces است.

بررسی قابلیت کاربران تضمین می کند که فقط کاربران دارای مجوز حذف یک پست می توانند پست را حذف کنند.
اما اگر فردی شما را فریب دهد تا روی آن لینک حذف کلیک کنید، شما دارای این توانایی هستید، می توانید خواسته و ناخواسته یک پست را حذف کنید.

از Nonces برای این استفاده می شود که بررسی شود که آیا کاربر فعلی قصد انجام کاری را دارد یا خیر.

هنگام ایجاد لینک حذف، می توانید از تابع ()wp_create_nonce برای اضافه کردن یک nonce به لینک استفاده کنید.
آرگومان منتقل شده به تابع اطمینان می دهد که nonce ایجاد شده منحصر به آن عمل خاص است.

سپس هنگامی که یک درخواست حذف یک پیوند را پردازش می کنید می توانید بررسی کنید که این nonce همان چیزی است که شما آن را انتظار دارید یا خیر.

یک مثال کامل

در مثال زیر نمونه خیلی خوبی است که در آن تمامی آموخته های این جلسه و جلسات پیش یعنی:

تعیین قابلیت کاربران
اعتبار سنجی داده های پلاگین
ایمنی سازی داده های ورودی پلاگین
ایمنی سازی داده های خروجی پلاگین
و مبحث استفاده Nonces در پلاگین ها

مثال :

<?php
/**
 * generate a Delete link based on the homepage url
 */
function wporg_generate_delete_link($content)
{
    // run only for single post page
    if (is_single() && in_the_loop() && is_main_query()) {
        // add query arguments: action, post, nonce
        $url = add_query_arg(
            [
                'action' => 'wporg_frontend_delete',
                'post'   => get_the_ID(),
                'nonce'  => wp_create_nonce('wporg_frontend_delete'),
            ],
            home_url()
        );
        return $content . ' <a href="' . esc_url($url) . '">' . esc_html__('Delete Post', 'wporg') . '</a>';
    }
    return null;
}
 
/**
 * request handler
 */
function wporg_delete_post()
{
    if (
        isset($_GET['action']) &&
        isset($_GET['nonce']) &&
        $_GET['action'] === 'wporg_frontend_delete' &&
        wp_verify_nonce($_GET['nonce'], 'wporg_frontend_delete')
    ) {
 
        // verify we have a post id
        $post_id = (isset($_GET['post'])) ? ($_GET['post']) : (null);
 
        // verify there is a post with such a number
        $post = get_post((int)$post_id);
        if (empty($post)) {
            return;
        }
 
        // delete the post
        wp_trash_post($post_id);
 
        // redirect to admin page
        $redirect = admin_url('edit.php');
        wp_safe_redirect($redirect);
 
        // we are done
        die;
    }
}
 
if (current_user_can('edit_others_posts')) {
    /**
     * add the delete link to the end of the post content
     */
    add_filter('the_content', 'wporg_generate_delete_link');
 
    /**
     * register our request handler with the init hook
     */
    add_action('init', 'wporg_delete_post');
}

<?php

/**

* generate a Delete link based on the homepage url

function wporg_generate_delete_link($content)

{

// run only for single post page

if (is_single() && in_the_loop() && is_main_query()) {

// add query arguments: action, post, nonce

$url = add_query_arg(

[

'action' => 'wporg_frontend_delete',

'post' => get_the_ID(),

'nonce' => wp_create_nonce('wporg_frontend_delete'),

home_url()

);

return $content . ' <a href="' . esc_url($url) . '">' . esc_html__('Delete Post', 'wporg') . '</a>';

}

return null;

}

/**

* request handler

function wporg_delete_post()

{

if (

isset($_GET['action']) &&

isset($_GET['nonce']) &&

$_GET['action'] === 'wporg_frontend_delete' &&

wp_verify_nonce($_GET['nonce'], 'wporg_frontend_delete')

) {

// verify we have a post id

$post_id = (isset($_GET['post'])) ? ($_GET['post']) : (null);

// verify there is a post with such a number

$post = get_post((int)$post_id);

if (empty($post)) {

return;

}

// delete the post

wp_trash_post($post_id);

// redirect to admin page

$redirect = admin_url('edit.php');

wp_safe_redirect($redirect);

// we are done

die;

}

if (current_user_can('edit_others_posts')) {

/**

* add the delete link to the end of the post content

add_filter('the_content', 'wporg_generate_delete_link');

/**

* register our request handler with the init hook

add_action('init', 'wporg_delete_post');

}

کلام آخر

در این فصل به طور کلی با مبحث ایمنی سازی و امنیت پلاگین ها و افزونه های ساخت خودتان آشنا شدیم و در پایان این سر فصل نیز با یک مثال تمامی این موارد را فرا گرفتیم.
در جلسه بعدی که آغازی بر فصل هوک یا قلاب های پلاگین وردپرس است با ویژگی ها و کاربردهای هوک های وردپرس بیشتر آشنا می شویم.
با پی وی لرن همراه باشید.

QR: جلسه ۱۴ : استفاده Nonces در پلاگین ها

به اشتراک بگذارید

دیدگاه کاربران

تعداد دیدگاه : 0

پی وی لرن – آموزش برنامه نویسی و طراحی وب سایت

دوره های آموزشی آکادمی پی وی لرن (پروژه محور و ویژه بازار کار)

جلسه ۱۴ : استفاده Nonces در پلاگین ها

مقدمه

استفاده Nonces در پلاگین ها

استفاده از Nonces

یک مثال کامل

کلام آخر

لیست مطالب دوره

اصول اولیه پلاگین نویسی در وردپرس

امنیت پلاگین ها

هوک ها

حریم خصوصی

منو های مدیریت

تنظیمات پلاگین

انواع پست های سفارشی (Post Types)

دسته بندی ها در ساخت پلاگین

JavaScript

Internationalization (بین المللی سازی)

قوانین و دستور العمل های ایجاد پلاگین

ابزارهای توسعه دهنده پلاگین

مطالب ویژه

دسته های اصلی

برگه ها

بلاگ