Is this plugin safe to run?

时间:2013-01-10 作者:user25822

这是从wordpress插件中提取的代码。即使未过滤变量,运行是否安全?wpdb类是否也会过滤以防止任何注入?

list($email_id, $user_id, $url, $anchor) = explode(\';\', base64_decode($_GET[\'r\']), 4);
$wpdb->insert(NEWSLETTER_STATS_TABLE,
    array(
        \'email_id\' => $email_id,
        \'user_id\' => $user_id,
        \'url\' => $url,
        \'anchor\' => $anchor
    )
);

1 个回复
SO网友:fuxia

wpdb::_insert_replace_helper() 将转义数据:

return $this->query( $this->prepare( $sql, $data ) );
但是,base64编码的字符串看起来很奇怪。我认为这应该是四个独立的参数。

结束
标签: plugins   php   database   security   小码农  

相关推荐

在外部php脚本中使用插件功能不起作用

我遇到了一个奇怪的问题,到目前为止我还不能解决。我在打电话给a。通过cronjob(Debian/GNU-Linux)编写php脚本。要使用wordpress功能,我添加了:define(\'WP_USE_THEMES\', false); require( \'/full/path/to/wp-blog-header.php\' ); 现在,数据库查询和默认wordpress功能都可以正常工作,但我也调用了插件提供的一些功能(即高级自定义字段,但该问题会影响其他插件以及我测试的插件)。