以下是促销模式的一些工作代码,但这是一种在ajax请求中使用wordpress nonce的安全且恰当的方法吗?
在tmp中创建nonce:$ ajax_nonce = wp_create_nonce(" mynonce"); 示例网址:www.mysite.com/#345345
var asdf = location.hash.match(/^#?(.*)$/)[1];
if (asdf) {
$productID = asdf;
if ($.cookie("modalshow") === undefined) {
var expiryDate = new Date();
var minutes = 0.20; //12 seconds
expiryDate.setTime(expiryDate.getTime() + (minutes * 60 * 1000));
$.cookie("modalshow", "exists", { path: '/', expires: expiryDate });
var data = {
action: 'my_action',
product_id: $productID,
security: '<?php echo $ajax_nonce; ?>'
};
var ajaxurl = '/wp-admin/admin-ajax.php';
$.post(ajaxurl, data, function(response) {
$(".modal-content").append(response);
$('#Modal').modal({ show:true });
});
} //no cookie
};//if match
插件:
add_action( 'wp_ajax_my_action', 'my_action_function' );
function my_action_function() {
check_ajax_referer( 'mynonce', 'security' );
if( isset($_POST['product_id']) ) {
$my_report_num = $_POST['product_id']; // splash 443
$myposttype = get_post_type( $my_product_num );
if ( get_post_status( $my_product_num ) == 'publish' && $myposttype == "df_product" ) {
//we're good
$theid = $my_product_num;
} else {
$theid = "876";
}
//fedtch content using $theid
die();
} // end if
die;
}
在上面的php中,get_post_type()使用了使用sanitize_post()的get_post() - 所以有一些验证正在完成,目前我的计划是,如果恶意被附加到URL或通过其他方式发送客户端,$ theid将被设置为我的白名单&#34; 876&#34; - 所以我需要在客户端或PHP中进行额外的验证吗?
感谢任何帮助,谢谢!