Задать вопрос
@mikitachyzhyk

Стоил ли экранировать вывод Contact Form 7?

Стоил ли экранировать вывод Contact Form 7 функциями типа wp_kses, ведь это насколько я понимаю потенциальная уязвимость, если злоумышленнику удастся попасть в админку сайта?

Update: Прощу прощения, видимо я не совсем точно выразился. Я имел в виду текстовый редактор форм CF7, в который пользователь может вставить любой код, который будет запущен при выводе в теме. Стоит ли его оборачивать в wp_kses?

Например, такой:
<script>alert('hello!');</script>
<img src="" onerror="alert('error!');"></img>


Какой потенциальный вред или для кого-то пользу может такой код нанести думаю не стоит.
  • Вопрос задан
  • 55 просмотров
Подписаться 1 Средний Комментировать
Решения вопроса 2
Mike_Ro
@Mike_Ro Куратор тега WordPress
Python, JS, WordPress, SEO, Bots, Adversting
Стоил ли экранировать вывод Contact Form 7?

Если Вы под "экранировать" понимаете санитайзинг (Sanitize), то да. Лишний слой безопасности, который не зависит от конкретного плагина - хуже не сделает (если написан не криво).
Ответ написан
Комментировать
YBB
@YBB
Стоил ли экранировать вывод Contact Form 7

Интересно, как Вы себе представляете "экранирование" html-формы, вставляемой в html страницы через шорткод?

если злоумышленнику удастся попасть в админку сайта?

А если еще и с правами админа, то всякие "экранирования" будут что мертвому припарки.

IMHO не стоит тратить время и силы на ерунду.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@Refguser
Решения для бизнеса: от создания ИМ до...
ведь это насколько я понимаю потенциальная уязвимость, если злоумышленнику удастся попасть в админку сайта?

Каким образом вывод формы позволит попасть в админку?

А сам код всех плагинов из оф каталога проверяется на безопасность. Т.е. CF7 настолько же опасен, как и любой другой плагин.

Так что нет, не стоит заниматься фигнёй.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы