✅ WEB- und WordPress-Nachrichten, Themen, Plugins. Hier teilen wir Tipps und beste Website-Lösungen.

So verwenden Sie WordPress Nonce

53

Was ist WordPress Nonce?

Wie im WordPress-Codex erwähnt, ist eine WordPress-Nonce eine „einmal verwendete Zahl”, um URLs und Formulare vor bestimmten Arten von Missbrauch, böswillig oder anderweitig, zu schützen.

Ein Nonce ist nichts anderes als ein Sicherheitstoken, das während der Entwicklung verwendet werden sollte, um CSRF-Angriffe (Cross-Site Request Forgery) zu vermeiden.

Während der Entwicklung von Themes oder Plugins sollte Nonce in einem Formular oder in einer URL verwendet werden. Als WordPress-Entwickler ist die Verwendung von Nonce eine gute Praxis.

So verwenden Sie Nonce in einem Formular

Wie bereits erwähnt, ist Nonce ein Token, um CSRF-Angriffe zu verhindern. Beim Umgang mit Formularen sollten wir diese Nonce in unsere Formulare einfügen. Um eine Nonce in einem Formular hinzuzufügen, verwenden wir ein verstecktes Feld.

<input type="hidden" name="FIELD_NAME" value="<?php echo wp_create_nonce('NONCE_NAME'); ?>"

Ersetzen Sie im obigen Code FIELD_NAME und NONCE_NAME durch alles, was Sie wollen.

Check Ist Nonce gültig?

Nachdem Sie einem Formular eine Nonce hinzugefügt haben, müssen Sie nach dem Absenden des Formulars überprüfen, ob das Bestehen der Nonce gültig ist oder nicht. WordPress bietet eine Funktion wp_verify_nonce, um die Nonce-Gültigkeit zu überprüfen.

if (wp_verify_nonce( $_REQUEST['FIELD_NAME'], 'NONCE_NAME')) {
    //safe to proceed
} else {
    die('Security Check!');
}

So verwenden Sie Nonce in URL

CSRF-Angriffe können auch über URLs auf Websites erfolgen. Aber auch für sensible Seiten spielt Nonce eine wichtige Rolle. Nehmen wir an, wir haben eine Einstellungsseite auf der Website, die einige sensible Daten enthält, die geschützt werden sollten. Wir wollen es auch vor CSRF-Angriffen schützen. Also erstelle ich eine Nonce-URL für die Einstellungsseite auf folgende Weise.

<a href="<?php echo wp_nonce_url(get_bloginfo('url').'/settings', 'page-settings', 'setting-nonce'); ?>"></a>

Check Ist Nonce gültig?

Jetzt müssen wir überprüfen, ob die Übergabe von Nonce gültig ist oder nicht. Wir können dies auf folgende Weise tun. Auch hier verwenden wir die Funktion wp_verify_nonce(), um die Nonce-Gültigkeit zu überprüfen. Ich werde den folgenden Code oben auf der Einstellungsseite hinzufügen.

if (isset($_GET['setting-nonce']) && wp_verify_nonce($_GET['setting-nonce'], 'page-settings')) {
    //safe tp proceed
}

Ich hoffe, Sie verstehen, wie man WordPress Nonce verwendet. Wenn Sie Fragen oder Anregungen haben, hinterlassen Sie bitte unten einen Kommentar.

Aufnahmequelle: artisansweb.net

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern. Wir gehen davon aus, dass Sie damit einverstanden sind, Sie können sich jedoch abmelden, wenn Sie möchten. Annehmen Weiterlesen