让文本小工具支持PHP和短代码(Shortcode)
WordPress的文本小工具默认并不支持PHP和短代码,仅能支持HTML
若需文本小工具支持PHP,只需将下面代码加入到主题的function.php即可
//让文本小工具支持短代码
add_filter('widget_text', 'do_shortcode');
//让文本小工具支持PHP代码
add_filter('widget_text','execute_php',100);
function execute_php($html){
if(strpos($html,"<"."?php")!==false){
ob_start();
eval("?".">".$html);
$html=ob_get_contents();
ob_end_clean();
}
return $html;
}
这是WP大学的吧?
根据该代码的几个特征,我判断此代码在胡倡萌的wordpress大学网站上出现过。经检测此代码的原理具有一定危险性,和服务器上的一句话木马差(例如kekedou.net上的ssh功能获取木马)差不多。而且如果安全防护好的话有一部分代码无法运行(亲试)
这么可怕啊。。。
eval(“?”.”>”.$html);
这句话有危险
可以具体分析下吗,我现在用着360的CDN,据说有什么防注入,防DDOS功能,WordPress本身安全性也挺好,应该没啥问题吧
飘过
我勒个去,
去哪?
也就是可以直接输入带php开头和结尾标志的完整代码?另祝中秋快乐!
是滴,同乐~~~