我试图测试我的WordPress网站安全性,现在我感到困惑。在表单中,我在输入中输入了objects。提交表单后,下一页会出现一个弹出框。这意味着我的表格尚未安全。但那不是问题。
首先让我解释一下,XSS脚本的提交将由用户<script>alert('XSS Expoit worked');</script>更新,并且应该可以在数据库的update_user_meta()表中找到。
usermeta这里的问题是,我没有找到表格中的脚本&amp;每次我退出&amp;登录然后跳到if(isset($_POST['submit_userinfo'])) {
global $current_user;
get_currentuserinfo();
$user_id = $current_user->ID;
if(!wp_verify_nonce($_POST['peoplesweep_user_form'],'peoplesweep_form_submit')){
wp_die('Our Site is protected!!');
}
else{
$nric = $_POST['nric'];
update_user_meta( $user_id, 'nric', $nric );
wp_redirect(get_permalink('next_page')); // next page after submission success
}
}
,脚本仍会弹出。 我需要知道它的存储位置,以便我可以将其删除。
脚本存储的任何想法?和/或我如何审查数据库中的任何变化????