Стоил ли экранировать вывод Contact Form 7?

Question

[mikitachyzhyk]

Стоил ли экранировать вывод Contact Form 7 функциями типа wp_kses, ведь это насколько я понимаю потенциальная уязвимость, если злоумышленнику удастся попасть в админку сайта?

Update: Прощу прощения, видимо я не совсем точно выразился. Я имел в виду текстовый редактор форм CF7, в который пользователь может вставить любой код, который будет запущен при выводе в теме. Стоит ли его оборачивать в wp_kses?

Например, такой:

<script>alert('hello!');</script>
<img src="" onerror="alert('error!');"></img>

Какой потенциальный вред или для кого-то пользу может такой код нанести думаю не стоит.

Answer 1

[Refguser]

ведь это насколько я понимаю потенциальная уязвимость, если злоумышленнику удастся попасть в админку сайта?

Каким образом вывод формы позволит попасть в админку?

А сам код всех плагинов из оф каталога проверяется на безопасность. Т.е. CF7 настолько же опасен, как и любой другой плагин.

Так что нет, не стоит заниматься фигнёй.

Comments

[mikitachyzhyk]

Видимо я не так выразился, я имел в виду если злоумышленник попадет в админку, то он сможет воспользоваться редактором форм CF7, в своих нехороших целях. Поэтому хорошо бы при выводе в теме это дело подчистить.

[Refguser]

mikitachyzhyk, если злоумышленник попадет в админку - на кой ему вообще CF7? Получать почту? :) Он сможет более эффективно использовать доступы.

Не морочь голову, займись делом. Чтобы никто не попадал в админку.

[mikitachyzhyk]

Не согласен с вами, думаю вам стоит больше об этом узнать, перед тем как давать советы, но спасибо за попытку.

[Refguser]

mikitachyzhyk, а, ну если ты умнее, то чего ж спрашиваешь..

С головой попробуй подружиться и подумай - если злоумышленник попадет в админку - о какой безопасности речь? Какая опасность в плагине формы? Как что и где ты собрался "экранировать" в плагине?

Answer 2

[Михаил Р.]

Стоил ли экранировать вывод Contact Form 7?

Если Вы под "экранировать" понимаете санитайзинг (Sanitize), то да. Лишний слой безопасности, который не зависит от конкретного плагина - хуже не сделает (если написан не криво).

Answer 3

[Юрий]

Стоил ли экранировать вывод Contact Form 7

Интересно, как Вы себе представляете "экранирование" html-формы, вставляемой в html страницы через шорткод?

если злоумышленнику удастся попасть в админку сайта?

А если еще и с правами админа, то всякие "экранирования" будут что мертвому припарки.

IMHO не стоит тратить время и силы на ерунду.