在模板文件中使用wp_LOCALIZE_SCRIPT-安全吗?

时间:2016-07-18 作者:Jordan Carter

我的一个模板文件(不是functions.php)中包含以下代码

$datatoBePassed = array(
                \'pageTitle\' => get_the_title()
            );
wp_localize_script( \'main-js\', \'php_vars\', $datatoBePassed );
我想知道在函数之外执行类似操作时是否存在任何固有的安全问题。php。我的目标很简单——我只是将页面标题传递到JavaScript中,这样它就可以在现有列表中突出显示匹配的文本红色。我知道可能有更好的方法来实现这一点,但这是目前最好的解决方案。如果这是不安全的,我可以把它重复到display:none div,改为阅读。

1 个回复
最合适的回答,由SO网友:Rarst 整理而成

与输入/输出相关的安全问题大致可以分为两个方面:

有人设法阅读他们不应该阅读的信息Localize无法将任何内容写入站点,因此您在这方面是安全的。

在阅读方面,它与只将内容回显到页面源代码(实际上是这样做的)没有太大区别。唯一需要注意的是,提供的数据不能由用户/输入操作。

例如,页面标题应准确地针对正在处理的页面,并且不应存在允许其返回不同页面标题的漏洞(可能是私有页面等)。

标签: functions   security   wp-localize-script   小码农  

相关推荐

og:image functions.php

我有自定义模板,我需要得到og:在标题图像url。类映像在DB wp\\u postmeta-meta\\u value中的位置我尝试使用函数。phpfunction getOgImage() { global $wpdb; $ogimage = $wpdb->get_results(\"SELECT DISTINCT post_id FROM wp_postmeta WHERE meta_value\", OBJECT); echo