Wie funktioniert check_ajax_referer() wirklich funktionieren?

Smart WordPress-Leute sagen , dass die plugin-Entwickler sollte beschäftigen eine nonce in jedem AJAX-request gesendet wird, von einer Seite zurück zu den wordpress-blog admin-ajax.php).

Dies geschieht durch (1) erzeugen einer nonce, die auf der server-Seite, über

$nonce = wp_create_nonce  ('my-nonce');

...(2) die Herstellung, die nonce zur Verfügung, um Javascript-code, sendet AJAX Anfragen. Zum Beispiel könnte man es so machen: 

function myplg_emit_scriptblock() {
    $nonce = wp_create_nonce('myplg-nonce');
    echo "<script type='text/javascript'>\n" .
        " var WpPlgSettings = {\n" .
        "   ajaxurl : '" . admin_url( 'admin-ajax.php' ) . "',\n" .
        "   nonce : '" . $nonce . "'\n" .
        " };\n" .
        "</script>\n";
}
add_action('wp_print_scripts','myplg_emit_scriptblock');

...und dann (3) die javascript-ajax-Logik, Referenzen, Globale Variablen. 

    var url = WpPlgSettings.ajaxurl +
        "?action=my-wp-plg-action&" +
        "nonce=" + WpPlgSettings .nonce +
        "docid=" + id;

    $.ajax({type: "GET",
            url: url,
            headers : { "Accept" : 'application/json' },
            dataType: "json",
            cache: false,
            error: function (xhr, textStatus, errorThrown) {
                ...
            },
            success: function (data, textStatus, xhr) {
                ...
            }
           });

...und schließlich (4) die Prüfung der empfangenen nonce in die server-seitige Logik. 

add_action( 'wp_ajax_nopriv_skydrv-hotlink', 'myplg_handle_ajax_request' );
add_action( 'wp_ajax_skydrv-hotlink', 'myplg_handle_ajax_request' );
function myplg_handle_ajax_request() {
    check_ajax_referer( 'myplg-nonce', 'nonce' );  //<<=-----
    if (isset($_GET['docid'])) {
        $docid = $_GET['docid'];
        $response = myplg_generate_the_response($docid);
        header( "Content-Type: application/json" );
        echo json_encode( $response ) ;
    }
    else {
        $response = array("error" => "you must specify a docid parameter.");
        echo json_encode( $response ) ;
    }

    exit;
}

Aber wie funktioniert der check wirklich funktionieren?

InformationsquelleAutor Cheeso | 2012-06-03
  1. 14

    Überarbeitung einige AJAX-Verfahren, Kam ich auf die gleiche Frage. Und es ist einfach eine Frage der Prüfung der Funktion code:

    function check_ajax_referer( $action = -1, $query_arg = false, $die = true ) {
    if ( $query_arg )
        $nonce = $_REQUEST[$query_arg];
    else
        $nonce = isset($_REQUEST['_ajax_nonce']) ? $_REQUEST['_ajax_nonce'] : $_REQUEST['_wpnonce'];

    $result = wp_verify_nonce( $nonce, $action );

    if ( $die && false == $result ) {
        if ( defined( 'DOING_AJAX' ) && DOING_AJAX )
            wp_die( -1 );
        else
            die( '-1' );
    }

    do_action('check_ajax_referer', $action, $result);

    return $result;
}

    Wenn wp_verify_nonce ist false und Sie haben nicht gesendet false im $die parameter, dann wird es ausführen wp_die( -1 );.

    In deinem Beispielcode check_ajax_referer() bricht die Ausführung und zurück -1 zu den AJAX-call. Wenn Sie möchten, um den Fehler zu behandeln sich selbst, fügen Sie den parameter $die und tun Sie Ihre Sachen mit $do_check:

    $do_check = check_ajax_referer( 'myplg-nonce', 'nonce', false );

    Beachten Sie, dass die richtige Art und Weise zu behandeln AJAX in WordPress: registrieren, enqueue und lokalisieren die JavaScript-Dateien mit wp_enqueue_scripts statt wp_print_scripts.

    Siehe Verwenden wp_enqueue_scripts() nicht wp_print_styles().

    • Du bist zu bekommen, Abzeichen, da werd ich akzeptiere Ihre Antwort, 14 Monate, nachdem ich die Frage gepostet. Danke!
    • Ich denke das badge kommt, wenn 2 upvotes 😉 Schön zu sehen, eine alte Q gelöst, Sie sind herzlich willkommen!
    InformationsquelleAutor brasofilo
  2. 0

    Es ist nur ein test, die "nonce" - code entspricht dem, was gegeben wurde, so kann ein hacker nicht in cut und Holen Sie sich eine Verknüpfung zu Ihrer Datenbank. Wenn der Sicherheitscode nicht übereinstimmt, wird die php-sterben, und die Seite wird halt.

    "Wenn Sie den code korrekt verifiziert wird fortgesetzt, wenn nicht wird es auslösen die('-1'); beenden Sie Ihren code Toten."

    InformationsquelleAutor TGanoe
Schreibe einen Kommentar