我正在开发一个WordPress主题,其中包含自己的实际安装脚本。所以这就是发生的事情;
1。)用户从mysite下载theme.zip。
theme.zip不包含主题本身,它包含安装脚本和所有必需的文件,使安装成功。
2。)现在用户将theme.zip上传到他们的服务器(使用WP仪表板)
3.)他们上传了theme.zip,他们将运行需要用户名和密码的安装脚本,该脚本存储在MY sql db中。
//狡猾的位
现在,这是安装脚本中发生的事情。
一旦用户输入了用户名和密码,一些变量(用户的用户名,密码和唯一ID号)将被发送到我服务器上的php文件(使用curl)。然后我的服务器将查看sql db并选择某一行(使用之前发送的唯一ID号)并检查用户的详细信息是否正确。如果细节正确,我的服务器将发回一些变量(使用JSON编码/解码),值为TRUE。一旦用户服务器收到TRUE值,它将继续。如果它收到FALSE的值,它将停止并抛出错误
一旦用户成功登录(我的服务器发回TRUE),则会运行另一个CURL函数。
此函数将向我服务器上的另一个php文件发送一个唯一的id。然后,php文件将复制一个文件夹,该文件夹放在我的服务器上,并使用唯一的ID号命名该文件,因此重复的文件夹将被称为“265851654”(其中包含所有主题内容),然后是php脚本(在我的服务器)然后将该文件夹压缩为.zip。压缩完成后,它会发送一些信息(有关新生成的.zip放在服务器上的位置的信息,可以下载。)返回给用户服务器。
然后,用户服务器将使用从我的服务器收到的信息生成下载链接并开始下载.zip文件。下载完成后,将运行另一个curl函数。此函数将与刚才解释的函数相同,但不是构建.zip准备下载,而是删除.zip。
现在它也有很多其他东西,但这些都在用户方面。
这样安全吗?由于这个主题可供所有人使用,这意味着他们将能够看到卷曲功能和所有其他源代码,他们可以随意编辑它们。
如果它不安全,你能否给我一些建议,以帮助防止那些邪恶的人乱搞?
谢谢!
答案 0 :(得分:0)
你应该记住一些事情:
我确信还有很多其他的东西,但这就是我现在所想的。