Веб разработка →
Небезопасный код приостановленного проекта PHP Speedy для Wordpress
Для решения задачи объединения множества CSS и JS файлов блога на Wordpress я не нашла ничего лучше, чем заброшенный проект PHP Speedy. (Web Optimizer не захотел устанавливаться из-за наличия конфликтующего плагина). Какого же было мое удивление, когда я случайно обнаружила вот такой небезопасный код:
стр. 568 исходного кода
Обратите внимание на строку с функцией
Так что, если вы еще используете этот плагин и у вас открыта регистрация, обязательно поправьте это недоразумение.
// action function for above hook
function mt_add_pages() {
add_options_page('php_speedy_wp.php', 'PHP Speedy', 0, $this->home_url, array(&$this, 'menu_system'));
}
стр. 568 исходного кода
Обратите внимание на строку с функцией
add_options_page()
, которая отвечает за добавление пункта меню «PHP Speedy» в списке плагинов для его настройки. 3й параметр этой функции указывает уровень пользователя (от 0 до 10), которому будут доступны настройки плагина. И почему-то этот параметр 0, вместо 10. Это означает, что любой зарегистрированный пользователь вашего блога увидит в консоли этот пункт в меню, ну и конечно, сможет настроить плагин как угодно или даже деактивировать его.Так что, если вы еще используете этот плагин и у вас открыта регистрация, обязательно поправьте это недоразумение.
29.04.2011 11:40+0400