Several nonces?

时间:2016-02-23 作者:N00b

有几个nonce有意义吗?它是否增加了安全性?

E、 g向元框添加nonce,同时<form> (基本上是整个添加/编辑帖子屏幕)默认情况下已经有一个

文档、教程和旧答案都坚持在制作自定义元框时添加nonce,就像我说的,WordPress已经在<form> 默认情况下,只有我(admin)有权访问admin区域,其他所有人都会被重定向,我不希望向每个元框代码块添加nonce-添加复杂的元框是a huge amount of code 即使没有它How is it then?

可选奖金问题:现场消毒、验证如何?如果没有其他人可以访问。。

1 个回复
最合适的回答,由SO网友:Mark Kaplun 整理而成

不,这没有任何意义。

所有与metaboxes相关的文档可能都是从codex中使用nonce的错误代码中获得灵感的。

metabox中nonces无意中解决的问题是,在使用帖子列表页面的快速编辑功能时(或者考虑任何类型的外部API),避免了数据损坏,因为此时没有metabox,表单中也没有数据。这可能会很棘手,尤其是在元框中有复选框的情况下,但更好的解决方法是通过显式隐藏输入来指示显示了元框(基本上这就是nonce所做的,但它令人困惑,因为它与安全性无关)。

至于卫生和验证,您应该始终这样做,因为用户可能会向您的代码发送错误的值,甚至可能是合法的输入。这有助于提高安全性,但这不是您应该这样做的唯一原因-https://xkcd.com/327/

相关推荐

WP_CREATE_NONCE在使用WP_LIST_TABLE时不进行验证

我创建了一个管理页面,在该页面中,我使用WP\\u list\\u Table显示MySQL表的列表。在这个表中,我需要能够在需要时删除记录。这就是我的问题所在。要删除记录,我设置了以下代码。class Genres_List extends WP_List_Table { [...] public static function delete_genre( $id ) { global $wpdb; $w