<?php sanitize_file_name("forbidden char.php"); //forbidden-char.php ?>

فاصله رو تبدیل به – کرد.

sanitize_html_class : کاراکتر های غیر مجاز رو برای کلاس از رشته حذف می کنه . (مثلا برای کلاس ها تنها کاراکتر های a-z , A-Z , 0-1 مجاز هستند اگر فارسی هم بنویسید حذف می کنه).

<?php echo sanitize_html_class("col-md 6 + *&^ dsf@#$%^&*()"); //col-md6dsf ?>

sanitize_text_field : رشته های متنی رو پاکسازی می کنه. (چون فیلدهای متنی استفاده زیادی دارند تابع پر کاربرید به شمار میره)

<?php echo sanitize_text_field("1f<form>fad</form>dfs?a"); //1ffaddfs?a  ?>

تگ های html حذف شدند. به این ترتیب اگر ورودی کد جاوا اسکریپت وارد کنند خنثی می شود چون در هیچ تگی نیست توسط مرورگر کد رشته شناخته می شود.

<?php
 echo sanitize_option( 'thumbnail_size_w', 'fsdfas' ); //0
 echo sanitize_option('new_admin_email' , 'info@asabagh.ir!'); //ifno@asabagh.ir 
?>

نکته : توابعی که در بالا برای شما توضیح دادیم یک مقدار ورودی میگیره و یک مقدار fallback که اگر پس از پاکسازی رشته خالی ماند از اون مقدار fallback استفاده بشه.

ایمن سازی خروجی ها (Securing output)

گاهی ما از ورودی های کاربران به عنوان خروجی استفاده می کنیم . (به طور مثال در دیدگاه ها) در این زمان برنامه ما در معرض خطر حملات XSS  قرار خواهد گرفت. پس باید ورودی هایی که قرار چاپ بشه رو ایمن کنیم که هکر ها نتونن از طریق وب سایت ما به کاربران تزریق کد داشته باشند.

پس پاکسازی داده ها برای چاپ برای محافظت از کاربران وب سایت می باشد ⇔ پاکسازی خروجی برای جلوگیری از حملات XSS.

تعدادی از توابع وردپرس برای پاکسازی خروجی :

esc_html : در این تابع هر چی که بنویسید در خروجی چاپ میشه ، این کار به وسیله تبدیل کردن کدها به مقدار encode شده اون ها اتقاق می افته به طور مثال < تبدیل به &gt چه می خواد تگ باشه یا کد های استایل.(پس هر وقت خواستید خروجی تون خام باشه و هیچ گونه تگی نداشته باشه از این تابع استفاده کنید.)

<?php echo esc_html( '<a href="http://www.example.com/">A link</a>' );  ?>

خروجی کد بالا به شکل زیر خواهد بود.

<a href=”http://www.example.com/”>A link</a>

esc_url : این تابع برای پاکسازی لینک ها از کدهای مخرب می باشد. طبیعیه که یه سری موارد رو برای لینک بودن ورودی این تابع رعایت می کنه.

<?php echo esc_url("https://website.&com<script>alert('this page hacked');</script>"); ?>

خروجی کد بالا به شکل زیر خواهد بود:

https://website.&comscriptalert(‘this%20page%20hacked’);/script

نکته : زمانی که دارید src و href رو به صورت داینامیک از ورودی های کاربر وارد می کنید از این تابع استفاده کنید.

esc_attr : این تابع برای پاکسازی خروجی ها در زمان وارد کردن ویژگی به تگ ها است (Attributes includes : class , name , value , data)

<?php $fname = ( isset( $_POST['fname'] ) ) ? $_POST['fname'] : ''; ?>
<input type="text" name="fname" value="<?php echo esc_attr( $fname ); ?>">

این تابع مختص Attribute هاست و علاوه بر جلوگیری از حملات XSS کارکتر های غیر مجاز برای Attribute را هم پاکسازی می کند.

esc_sql : زمانی که قراره از کاربر داده ای بگیری و اون داده رو در یک SQL Query قرار بدی و نتیجه رو بگیری این تابع خیلی به کار میاد. کمک می کنه که کاربر لای داده خودش کد sql تزریق نکنه :

<?php
$name   = esc_sql( $name );
$status = esc_sql( $status );
$wpdb->get_var( "SELECT something FROM table WHERE foo = '$name' and status = '$status'" );
?>

نکته : اگر از $wpdb->prepare() استفاده می کنید نیازی به استفاده از تابع esc_sql ندارید.

پاکسازی به همراه ترجمه :

هر گاه بحث خروجی باشه ترجمه هم هست. توابعی که هم قابلیت ترجمه و هم پاکسازی رو داره .

• esc_html__()
• esc_html_e()
• esc_attr__()
• esc_attr_e()
• esc_attr_x()

نحوه کار با اونها دقیقا مثل کار با توابع معمولی ترجمه است (در پشت کار پاسکازی هم انجام میشه)

Nonce

nonce ها یک مقدار ناشناس رمز نگاری شده هستند که برای جاهایی که کاربر اجازه داره اطلاعاتی رو بفرسته استفاده میشه. نحوه کار اون ها به شکل زیر است.

انتخاب رشته به عنوان nonce ⇐ رمز شدن این رشته ⇐ ارسال به سرور ⇐ رمزشکنی رشته ارسالی در سرور و چک کردن با مقدار اولیه

بدین ترتیب فردی که درخواست رو میده باید در فرم حضور داشته باشه . (منظورم مکان درخواسته)

در حالت کلی ما در دوجا از nonce ها استفاده می کنیم:

• در زمانی که درخواستی قراره از طریق لینک و با پارامتر GET ارسال بشه(wp_create_nonce , wp_verify_nonce)
• زمانی که قراره از طریق فرم با پارامتر POST یا GET درخواستی ارسال بشه. (wp_nonce_field , wp_verify_nonce)

دو تابع داریم یکی برای تولید nonce (گرفتن رشته و رمز کردن اون ) و دیگری برای تایید nonce (رمز شکنی رشته و مقایسه با مقدار اولیه)

تولید nonce با تابع wp_create_nonce

<?php wp_create_nonce( $action ); ?>

یک پارامتر می گیره ($action) و همون رشته ای هست که به عنوان کلید بهش میدید (هر چی تو حالتونه بدید ولی قابل تشخیص نباشه از مقادیر قابل حدس استفاده نکنید)

خروجی این تابع دقیقا همون رشته رمز نگاری شده است.

تولید nonce با تابع wp_nonce_field

<?php wp_nonce_field( $action, $name ) ?>

همون طور که از نام این تابع پیداست خروجی اون یک فیلد مخفی (input type hidden) است که حاوی نام ( name ) پارامتر $name و مقدار( value ) رمز شده پارامتر $action است.

در حقیقت تابع wp_nonce_field کار زیر را با استفاده از تابع wp_create_nonce می کند . به مثال زیر توجه کنید:

<input type="hidden" name="<?php echo $name ?>" value="<?php echo wp_create_nonce($action);?>">

اعتبار سنجی nonce به وسیله تابع wp_verify_noce

<?php wp_verify_nonce( $nonce, $action ); ?>

پارامتر اول ( $nonce ) همون مقداریه که از طریق GET  یا POST اومده (nonce رمز نگاری شده) و پارامتر دوم ( $action ) همون رشته ایه که در تابع قبل در فرم جای دادید.

نکته : خروجی این تابع یک مقدار 0 یا 1 است که معتبر بودن یا نبودن nonce را تشخیص می دهد.

نکته : استفاده از nonce در در اعمال درخواست ها (چه از طریق لینک با تابع wp_create_nonce و یا چه از طریق   با تابع wp_nonce_field  باعث جلوگیری از حملات CSRF می شود)