Kama4 месяца назад82 EN

Исполняемый php код в записях WordPress

Бывают ситуации, когда очень удобно использовать весь потенциал языка программирования PHP в тексте при написании статей. Например когда нужно сделать что-то уникальное на отдельной странице прямо в контенте поста и написать PHP код прямо в редакторе.

В целях безопасности не рекомендую использовать этот метод. Используйте лучше:

шорткоды.
Или этот плагин: https://wordpress.org/plugins/insert-php-code-snippet/

Все кто пробовал написать какой либо php код в посте, в надежде что он сработает, знают, что WordPress воспринимает такой код как простой текст. Однако иногда бывает удобно запустить, например, какой-нибудь цикл вывода прямо в тексте при написании статьи, ведь контент такой статьи будет обновляться динамически. Другим примером может служить возможность вызывать готовые функции в посте, в случае необходимости или, например, вставить какой-нибудь php файл в текст поста по средствам php функции require():

require 'my_script.php';

В общем, здесь фантазия безгранична и правда в том, что невозможность использования php в тексте статьи в некоторых случаях может стать настоящей проблемой. Как-то давно я столкнулся с такой проблемой, решил её взяв и немного переделав код из какого-то плагина (сейчас уже не вспомню название).

Итак, чтобы реализовать возможность вставлять исполняемые PHP скрипты в текст статьи / поста или статической страницы, нужно добавить в уже, наверное, до боли знакомый нам файл темы functions.php следующий код:

## Исполняемый PHP код в контенте записи WordPress.
## [exec]PHP_код[/exec]
##
## @version: 1.0
if( 'Исполняемый PHP код в контенте' ){

	add_filter( 'the_content', 'content_exec_php', 0 );

	function content_exec_php( $content ){
		return preg_replace_callback( '/\[exec( off)?\](.+?)\[\/exec\]/s', '_content_exec_php', $content );
	}

	function _content_exec_php( $matches ){

		if( ' off' === $matches[1] ){
			return "\n\n<".'pre>'. htmlspecialchars( $matches[2] ) .'</pre'.">\n\n";
		}
		else {
			eval( "ob_start(); {$matches[2]}; \$exec_php_out = ob_get_clean();" );
			return $exec_php_out;
		}

	}

}

После того, как код добавлен станет возможным использовать в статьях конструкцию такого вида:

[exec]php код[/exec]

Например:

[exec]
// Комментарий
global $wp_version;
echo "Текущая версия WP: $wp_version";
[/exec]

Чтобы отключить выполнение кода, можно использовать следующую конструкцию. Она выведет просто код, как если бы мы вставили php код как текст.

[exec off]php код[/exec]

Важно о защите

Нужно помнить, что этой возможностью может воспользоваться кто угодно, а это огромная дыра в защите, потому что если у кого-либо есть доступ к написанию статей, он легко может сделать с сайтом все что захочет.

Чтобы обезопасить себя от возможных пагубных последствий этого хака, можно сделать следующую простую защиту (то что сразу пришло мне в голову): включать исполнение конструкции [exec]php код[/exec], только в том случае, если, например, у поста есть какое-либо произвольное поле или, скажем, пост написан в 00 минут. Естественно только вы будете знать эту хитрость при которой код будет исполняться и соответственно только вам будет доступна возможность вставить php код в статью.

—

Получите много друзей на страницу ВК для того, чтобы сделать ее максимально популярной в сети. Выводите свой аккаунт в топ поиска Контакта с недорогими услугами от представленного сайта. Здесь Вам будут доступны такие ресурсы, как: подписчики в группу, лайки, репосты, просмотры записей и т. д. Успейте сделать максимально выгодную покупку уже сейчас.

◂ Функция вывода записей по количеству просмотров

Если не работает пагинация на странице поиска ▸

82 комментария

Полезные - 6Вопросы - 1 Все

WishMaster sandreev.ru

Отлично, это то, что я искал. Только один вопрос, а как сделать, чтобы при просмотре анонса статьи php код тоже выполнялся или вообще не выполнялся. А то сейчас он просто показывается как есть, что не безопасно.

0

15.6 лет назад #
- Kama 9892
  Вообще, вроде как автоматом должен вырезаться, конструкция шоткода ведь.
  
  Чтобы поправить, добавьте еще такой хак в functions.php
```
add_filter( 'the_excerpt', create_function('$a', 'return preg_replace("!\[exec.*/exec\]!isU","",$a);') );
```
  Он будет вырезать коды для функции the_excerpt(), которая используется WordPress для вывода анонсов.
  0
  
  15.6 лет назад #
WishMaster sandreev.ru

Спасибо, помогло. Теперь как надо!

0

15.6 лет назад #
- WishMaster sandreev.ru
  
  Я погорячился, все так же выводит весь код вставленный в [exec] [/exec].
  
  0
  
  15.6 лет назад #
WishMaster sandreev.ru

У меня в шаблоне это реализовано через the_content_rss, а не через the_excerpt(). Спасибо, разобрался.

0

15.6 лет назад #
Kostromi4 joborgame.ru
Приветствую. Подскажи в чем проблема, при вставке функции выдает такое сообщение на странице
```
Parse error: syntax error, unexpected '<' in путь/functions.php(740) : eval()'d code on line 1
```
то есть ругается на эту строку
```
eval('ob_start();'.$matches[1].'$inline_execute_output = ob_get_contents();ob_end_clean();');
```
0

15.4 года назад #
Kostromi4 joborgame.ru

"php код" - это код оформленный по всем правилам php.

возможно дело в этом, покажи на примере пожалуйста

0

15.4 года назад #
Kostromi4 joborgame.ru
Собственно хочу вставить в некоторые места вывод твоей функции вывода просмотров, поэтому вывести надо вот этот код
```
Просмотров: <?php echo get_post_meta ($post->ID,'views',true); ?>
```
0

15.4 года назад #
- Kama 9892
  Ага, проблема в том что вставляемый код неправильный. nea Нужно так:
```
echo 'Просмотров: ' . get_post_meta ($post->ID,'views',true);
```
  или
```
?> Просмотров: <?php echo get_post_meta ($post->ID,'views',true);
```
  Точно не уверен второй пример сработает или нет, но логика думаю понятна. ;-)
  0
  
  15.4 года назад #
Kostromi4

Ни то ни другое не выводят данные, хотя отрабатывают без ошибок

0

15.4 года назад #
- Kama 9892
  
  Значит данных нет.
  Проверьте ключ произвольного поля, может он неправильно указан, это единственное что приходит на ум.
  
  0
  
  15.4 года назад #
  - Kama 9892
    Аааа, ну да, все правильно $post то глобально нужно определить, внутри функции же вызывается:
    
    global $post; echo 'Просмотров: ' . get_post_meta ($post->ID,'views',true);
    0
    
    15.4 года назад #
  - Kostromi4
    
    Ну поле точно не пустое это, а ключи даже другие пробовал выводить, но все равно пусто.
    
    0
    
    15.4 года назад #
Kostromi4

Спасибо ;)

0

15.4 года назад #
Виталий ratblog.ru

можно сделать следующую простую защиту (то что сразу пришло мне в голову): включать исполнение конструкции [exec]php код[/exec], только в том случае, если, например, у поста есть какое-либо произвольное поле или, скажем, пост написан в 00 минут. Естественно только вы будете знать эту хитрость при которой код будет исполняться и соответственно только вам будет доступна возможность вставить php код в статью.

А как это реализовать чайнику?

0

15.4 года назад #
Ян gravura-art.ru

Как заставить исполняться в рамках [exec]php код[/exec] процедуру include

0

15.2 года назад #
- Kama 9892
  
  Как обычно в php это делается: [exec]include ('путь_к_файлу.php');[/exec]
  
  0
  
  15.2 года назад #

Исполняемый php код в записях WordPress

Важно о защите

До этого из: Код (коддинг)

До этого из: Хуки (хаки сниппеты фильтры события hooks)