WordPress中文开发手册

  1. Home
  2. Docs
  3. WordPress中文开发手册
  4. WordPress插件开发
  5. 插件安全
  6. 检查用户功能

检查用户功能

如果您的插件允许用户在管理员或公共方面提交数据,则应检查用户功能。

##用户角色和功能

创建高效安全层最重要的一步就是拥有一个用户权限系统。 WordPress以用户角色和功能的形式提供。

每个登录WordPress的用户都会根据用户角色自动分配具体的用户功能。

用户角色只是说明用户所属的组的一种奇特的方式。每个组都有一组特定的预定义功能。

例如,您的网站的主要用户将具有管理员的用户角色,而其他用户可能具有编辑器或作者等角色。您可以将多个用户分配到角色,即网站可能有两个管理员。

用户功能是您分配给每个用户或用户角色的特定权限。

例如,管理员具有“manage_options”功能,允许他们查看,编辑和保存网站的选项。另一方面,编辑者缺乏这种能力,这将阻止他们与选项进行交互。

然后在管理员的各个不同点检查这些功能。取决于分配给角色的功能;可以添加或删除WordPress体验的菜单,功能和其他方面。

在构建插件时,请确保仅在当前用户具有必要功能时运行代码。

层次结构

用户角色越高,用户拥有的功能越多。每个用户角色都会继承层次结构中的以前的角色。

例如,单个站点安装中最高用户角色的“管理员”继承了以下角色及其功能:“订阅者”,“贡献者”,“作者”和“编辑者”。

无限制

以下示例创建了一个前端的链接,该链接能够删除帖子。由于此代码不检查用户功能,它允许任何访问者的站点垃圾邮件!

<?php
/**
 * generate a Delete link based on the homepage url
 */
function wporg_generate_delete_link($content)
{
    // run only for single post page
    if (is_single() && in_the_loop() && is_main_query()) {
        // add query arguments: action, post
        $url = add_query_arg(
            [
                'action'%20<span%20class="token operator">=> 'wporg_frontend_delete',
                'post'   => get_the_ID(),
            ],
            home_url()
        );
        return $content . ' <a href="'%20<span%20class="token punctuation">. esc_url($url) . '">'%20<span%20class="token punctuation">. esc_html__('Delete Post', 'wporg') . '</a>';
    }
    return null;
}
 
/**
 * request handler
 */
function wporg_delete_post()
{
    if (isset($_GET['action']) && $_GET['action'] === 'wporg_frontend_delete') {
 
        // verify we have a post id
        $post_id = (isset($_GET['post'])) ? ($_GET['post']) : (null);
 
        // verify there is a post with such a number
        $post = get_post((int)$post_id);
        if (empty($post)) {
            return;
        }
 
        // delete the post
        wp_trash_post($post_id);
 
        // redirect to admin page
        $redirect = admin_url('edit.php');
        wp_safe_redirect($redirect);
 
        // we are done
        die;
    }
}
 
/**
 * add the delete link to the end of the post content
 */
add_filter('the_content', 'wporg_generate_delete_link');
 
/**
 * register our request handler with the init hook
 */
add_action('init', 'wporg_delete_post');

限于具体能力

上面的示例允许网站的任何访问者点击“删除”链接并垃圾邮件。 但是,我们只希望Editors及以上版本能够点击“删除”链接。

为了实现这一点,我们将检查当前用户是否具有edit_others_posts功能,只有Editors或以上版本具有:

<?php
/**
 * generate a Delete link based on the homepage url
 */
function wporg_generate_delete_link($content)
{
    // run only for single post page
    if (is_single() && in_the_loop() && is_main_query()) {
        // add query arguments: action, post
        $url = add_query_arg(
            [
                'action'%20<span%20class="token operator">=> 'wporg_frontend_delete',
                'post'   => get_the_ID(),
            ],
            home_url()
        );
        return $content . ' <a href="'%20<span%20class="token punctuation">. esc_url($url) . '">'%20<span%20class="token punctuation">. esc_html__('Delete Post', 'wporg') . '</a>';
    }
    return null;
}
 
/**
 * request handler
 */
function wporg_delete_post()
{
    if (isset($_GET['action']) && $_GET['action'] === 'wporg_frontend_delete') {
 
        // verify we have a post id
        $post_id = (isset($_GET['post'])) ? ($_GET['post']) : (null);
 
        // verify there is a post with such a number
        $post = get_post((int)$post_id);
        if (empty($post)) {
            return;
        }
 
        // delete the post
        wp_trash_post($post_id);
 
        // redirect to admin page
        $redirect = admin_url('edit.php');
        wp_safe_redirect($redirect);
 
        // we are done
        die;
    }
}
 
if (current_user_can('edit_others_posts')) {
    /**
     * add the delete link to the end of the post content
     */
    add_filter('the_content', 'wporg_generate_delete_link');
 
    /**
     * register our request handler with the init hook
     */
    add_action('init', 'wporg_delete_post');
}
Tags