۱۶
مرداد

جلسه ۳۷ : Sanitization و Escaping داده ها

دسته‌بندی‌ها :

با عرض سلام خدمت کاربران محترم سایت پی وی لرن.
با جلسه ای دیگر از سری جلسات دوره جامع آموزش ساخت قالب وردپرس در خدمت شما هستیم.
در این جلسه قصد داریم به آموزش Sanitization و Escaping داده ها در وردپرس بپردازیم.

فهرست

مقدمه

Sanitization (پاکسازی) و Escaping دو اصطلاح در امنیت وردپرس هستند که به اعتبار سنجی، فیلتر و ایمن سازی داده ها اشاره می‌کند.
داده های ورودی ممکن است آلوده به هرگونه کد مخرب باشند که اگر بررسی نشوند، امنیت سایت به خطر می‌افتد.

Sanitization : امنیت ورودی

Sanitization فرآیند پاکسازی یا فیلتر داده های ورودی است.
داده های ورودی می‌توانند داده های کاربر و یا داده های وب سرویس باشند.
از Sanitization هنگامی استفاده می‌کنید که نمی‌دانید انتظار چه نوع داده هایی را دارید و یا نمی‌خواهید از اعتبار سنجی داده ها استفاده کنید.

آسان ترین راه برای sanitize یا پاکسازی داده ها، استفاده از توابع خود وردپرس است.

مجموعه توابع sanatize یک روش مؤثر برای اطمینان حاصل کردن از امن بودن داده ها است.

()sanatize_email
()sanatize_file_name
()sanatize_html_class
()sanatize_key
()sanatize_meta
()sanatize_sql_orderby
()sanatize_text_field
()wp_filter_post_kses

مثال فیلد ورودی

فرض کنید یک فیلد ورودی به صورت زیر داریم:

مثال :

<input id="title" type="text" name="title">

1	<input id="title" type="text" name="title">

با استفاده از تابع ()sanatize_text_field میتوانیم داده های فیلد را پاکسازی کنیم.

مثال :

$title = sanitize_text_field( $_POST['title'] );
update_post_meta( $post->ID, 'title', $title );

1 2	$title = sanitize_text_field( $_POST['title'] ); update_post_meta( $post->ID, 'title', $title );

در واقع این تابع کار های زیر را انجام می‌دهد:

بررسی معتبر بودن UTF-8
حذف تمام تگ ها
حذف کردن لاین ها، تب ها و جاهای خالی اضافی

Escaping : امنیت خروجی

Escaping فرآیند ایمن سازی داده های خروجی با حذف کردن داده های ناخواسته است تا از دیده شدن آن ها به شکل کد جلوگیری کند.
مانند کد های HTML یا تگ های script.

هرگاه داده ها را صادر یا خارج می‌کنید، مطمئن شوید که به درستی آن ها را Escape می‌کنید.

این کار از حملات XSS جلوگیری می‌کند.

وردپرس تعدادی تابع دارد که می‌توانید در این موارد استفاده کنید.

()esc_html : هرگاه قرار است داده هایی که نمایش داده می‌شوند حاوی کد HTML باشند، از این تابع استفاده کنید.

مثال :

<?php echo esc_html( $title ); ?>

1	<?php echo esc_html( $title ); ?>

()esc_url : از این تابع روی url ها استفاده کنید.

مثال :

<img src="<?php echo esc_url( $great_user_picture_url ); ?>" />

1	<img src="<?php echo esc_url( $great_user_picture_url ); ?>" />

()esc_js : از این تابع روی اسکریپت های inline استفاده کنید.

مثال :

<a href="#" onclick="<?php echo esc_js( $custom_js ); ?>">Click me</a>

1	<a href="#" onclick="<?php echo esc_js( $custom_js ); ?>">Click me</a>

()esc_attr : از این تابع بر روی هرچیزی که قرار است داخل یک تگ html نمایش داده شود، استفاده کنید.

مثال :

<ul class="<?php echo esc_attr( $stored_class ); ?>"> </ul>

1	<ul class="<?php echo esc_attr( $stored_class ); ?>"> </ul>

()esc_textarea : متنی که قرار است داخل المان textarea نمایش داده شود را کدگذاری می‌کند.

مثال :

<textarea><?php echo esc_textarea( $text ); ?></textarea>

1	<textarea><?php echo esc_textarea( $text ); ?></textarea>

جلسه آموزش Sanitization و Escaping داده ها در وردپرس نیز به پایان رسید.

در جلسه بعد به آموزش اعتبار سنجی داده ها در وردپرس خواهیم پرداخت.

QR: جلسه ۳۷ : Sanitization و Escaping داده ها

به اشتراک بگذارید

دیدگاه کاربران

تعداد دیدگاه : 0

پی وی لرن – آموزش برنامه نویسی و طراحی وب سایت

دوره های آموزشی آکادمی پی وی لرن (پروژه محور و ویژه بازار کار)

جلسه ۳۷ : Sanitization و Escaping داده ها

مقدمه

Sanitization : امنیت ورودی

مثال فیلد ورودی

Escaping : امنیت خروجی

لیست مطالب دوره

مفاهیم پایه

عملکرد قالب

Customizer وردپرس

امنیت

حریم خصوصی

انتشار قالب در سایت Wordpress

مطالب ویژه

دسته های اصلی

برگه ها

بلاگ