Jak wspomniano w WordPress Codex, WordPress nonce to \u201eliczba u\u017cyta raz", aby chroni\u0107 adresy URL i formularze przed pewnymi rodzajami niew\u0142a\u015bciwego u\u017cycia, z\u0142o\u015bliwego lub innego.<\/p>\n
Jednorazowa warto\u015b\u0107 to nic innego jak token zabezpieczaj\u0105cy, kt\u00f3rego nale\u017cy u\u017cywa\u0107 podczas opracowywania, aby unikn\u0105\u0107 atak\u00f3w CSRF (cross-site request forgery).<\/p>\n
Podczas tworzenia motywu lub wtyczki nonce nale\u017cy u\u017cywa\u0107 w formularzu lub w adresie URL. Jako programista WordPress, u\u017cywanie nonce jest dobr\u0105 praktyk\u0105.<\/p>\n
Jak wspomniano, nonce jest tokenem zapobiegaj\u0105cym atakom CSRF. Kiedy mamy do czynienia z formularzami, powinni\u015bmy doda\u0107 to nonce do naszych formularzy. Aby doda\u0107 jednorazow\u0105 warto\u015b\u0107 w formularzu, korzystamy z pola ukrytego.<\/p>\n
<input type=\"hidden\" name=\"FIELD_NAME\" value=\"<?php echo wp_create_nonce('NONCE_NAME'); ?>\"<\/code><\/pre>\nW powy\u017cszym kodzie zast\u0105p FIELD_NAME i NONCE_NAME dowolnymi, kt\u00f3re chcesz.<\/p>\n
Sprawd\u017a, czy niewa\u017cne?<\/h3>\n
Po dodaniu numeru jednokrotnego w formularzu nale\u017cy sprawdzi\u0107, czy podanie numeru jednokrotnego jest prawid\u0142owe po przes\u0142aniu formularza. WordPress udost\u0119pnia funkcj\u0119 wp_verify_nonce, aby sprawdzi\u0107 wa\u017cno\u015b\u0107 jednorazow\u0105.<\/p>\n
if (wp_verify_nonce( $_REQUEST['FIELD_NAME'], 'NONCE_NAME')) {\n\u00a0\u00a0\u00a0\u00a0\/\/safe to proceed\n} else {\n\u00a0\u00a0\u00a0\u00a0die('Security Check!');\n}<\/code><\/pre>\nJak u\u017cywa\u0107 Nonce w adresie URL<\/h2>\n
Ataki CSRF mog\u0105 r\u00f3wnie\u017c wyst\u0105pi\u0107 na stronie internetowej za po\u015brednictwem adres\u00f3w URL. Ponadto w przypadku wra\u017cliwych stron nonce odgrywa wa\u017cn\u0105 rol\u0119. Powiedzmy, \u017ce mamy stron\u0119 ustawie\u0144 na stronie internetowej, kt\u00f3ra zawiera wra\u017cliwe dane, kt\u00f3re powinny by\u0107 chronione. Chcemy r\u00f3wnie\u017c zapobiec atakom CSRF. Wi\u0119c tworz\u0119 jednorazowy adres URL do ustawienia strony, post\u0119puj\u0105c w ten spos\u00f3b.<\/p>\n
<a href=\"<?php echo wp_nonce_url(get_bloginfo('url').'\/settings', 'page-settings', 'setting-nonce'); ?>\"><\/a><\/code><\/pre>\nSprawd\u017a, czy niewa\u017cne?<\/h3>\n
Teraz musimy zweryfikowa\u0107, czy podanie nonce jest prawid\u0142owe, czy nie. Mo\u017cemy to zrobi\u0107 w nast\u0119puj\u0105cy spos\u00f3b. Tutaj r\u00f3wnie\u017c u\u017cywamy funkcji wp_verify_nonce(), aby sprawdzi\u0107 wa\u017cno\u015b\u0107 jednorazow\u0105. Dodam poni\u017cszy kod na g\u00f3rze strony ustawie\u0144.<\/p>\n
if (isset($_GET['setting-nonce']) && wp_verify_nonce($_GET['setting-nonce'], 'page-settings')) {\n\u00a0\u00a0\u00a0\u00a0\/\/safe tp proceed\n}<\/code><\/pre>\nMam nadziej\u0119, \u017ce rozumiesz, jak korzysta\u0107 z WordPress Nonce. Je\u015bli masz jakie\u015b pytania lub sugestie, zostaw komentarz poni\u017cej.<\/p>\n