Kama12.8 лет назад82

Исполняемый php код в записях WordPress

Бывают ситуации, когда очень удобно использовать весь потенциал языка программирования PHP в тексте при написании статей. Речь идет о статьях для WordPress.

В целях безопасности не рекомендую использовать этот метод. Используйте лучше шорткоды.

Все кто пробовал написать какой либо php код в посте, в надежде что он сработает, знают, что WordPress воспринимает такой код как простой текст. Однако иногда бывает удобно запустить, например, какой-нибудь цикл вывода прямо в тексте при написании статьи, ведь контент такой статьи будет обновляться динамически. Другим примером может служить возможность вызывать готовые функции в посте, в случае необходимости или, например, вставить какой-нибудь php файл в текст поста по средствам php функции require():

require 'my_script.php';

В общем, здесь фантазия безгранична и правда в том, что невозможность использования php в тексте статьи в некоторых случаях может стать настоящей проблемой. Как-то давно я столкнулся с такой проблемой, решил её взяв и немного переделав код из какого-то плагина (сейчас уже не вспомню название).

Итак, чтобы реализовать возможность вставлять исполняемые PHP скрипты в текст статьи / поста или статической страницы, нужно добавить в уже, наверное, до боли знакомый нам файл темы functions.php следующий код:

## Исполняемый PHP код в контенте записи WordPress.
## [exec]PHP_код[/exec]
##
## @version: 1.0
if( 'Исполняемый PHP код в контенте' ){

	add_filter( 'the_content', 'content_exec_php', 0 );

	function content_exec_php( $content ){
		return preg_replace_callback( '/\[exec( off)?\](.+?)\[\/exec\]/s', '_content_exec_php', $content );
	}

	function _content_exec_php( $matches ){

		if( ' off' === $matches[1] ){
			return "\n\n<".'pre>'. htmlspecialchars( $matches[2] ) .'</pre'.">\n\n";
		}
		else {
			eval( "ob_start(); {$matches[2]}; \$exec_php_out = ob_get_clean();" );
			return $exec_php_out;
		}

	}

}

После того, как код добавлен станет возможным использовать в статьях конструкцию такого вида:

[exec]php код[/exec]

Например:

[exec]
// Комментарий
global $wp_version;
echo "Текущая версия WP: $wp_version";
[/exec]

Чтобы отключить выполнение кода, можно использовать следующую конструкцию. Она выведет просто код, как если бы мы вставили php код как текст.

[exec off]php код[/exec]

Важно о защите

Нужно помнить, что этой возможностью может воспользоваться кто угодно, а это огромная дыра в защите, потому что если у кого-либо есть доступ к написанию статей, он легко может сделать с сайтом все что захочет.

Чтобы обезопасить себя от возможных пагубных последствий этого хака, можно сделать следующую простую защиту (то что сразу пришло мне в голову): включать исполнение конструкции [exec]php код[/exec], только в том случае, если, например, у поста есть какое-либо произвольное поле или, скажем, пост написан в 00 минут. Естественно только вы будете знать эту хитрость при которой код будет исполняться и соответственно только вам будет доступна возможность вставить php код в статью.

—

Получите много друзей на страницу ВК для того, чтобы сделать ее максимально популярной в сети. Выводите свой аккаунт в топ поиска Контакта с недорогими услугами от представленного сайта. Здесь Вам будут доступны такие ресурсы, как: подписчики в группу, лайки, репосты, просмотры записей и т. д. Успейте сделать максимально выгодную покупку уже сейчас.

◂ Функция вывода записей по количеству просмотров

Если не работает пагинация на странице поиска ▸

82 комментария

Полезные 6 Вопросы 1 Все

pessimist www.begomotbed.ru

Специально вернулся, чтобы сказать большое спасибо! Решение мне очень понравилось, так как позволяет записи на Вордпресс добавить некоторой интерактивности с посетителем.

Спасибо, за потраченное Вами время с большой пользой для меня лично.

P.S. Не знал, как отблагодарить - жахнул по яду, я им не пользуюсь так, что должны зачесть

0

6.7 лет назад #
Paradogz

Не работает к сожалению. Пишет ошибку Parse error: syntax error, unexpected '<' in /home/gryphon/public_html/wp-content/themes/MinecraftTheme/functions.php(763) : eval()'d code on line 1

0

6.7 лет назад #
- pessimist www.begomotbed.ru
  
  между шорткодами [exec][/exec] нельзя писать <?php и ?> Похоже Ваша проблема связана именно с этим.
  
  Попробуйте вставить между шорткодами в записи Вордпресс простую инструкцию:
  [exec]echo 'Тестовая надпись';[/exec]
  
  Если выполнение этой записи вызовет ошибку - значит Вы некорректно вставили код в файл functions.php Еще раз проверьте себя, важен каждый символ. Новые функции лучше вставлять на самом "верху" файла functions.php
  
  3
  
  6.7 лет назад #
campusboy4388 www.youtube.com/c/wpplus

Насчёт защиты: можно проверять, кто написал статью. Если админ, то можно выполнять

0

6.5 лет назад #
Игорь api.net.ua
Спасибо за такую идею, а на счет защиты я реализовал вот так:
```
function inline_php($content){
	global $post;
	if($post->ID==1 || $post->ID==2) {
	$content = preg_replace_callback('/\[exec\]((.|\n)*?)\[\/exec\]/', 'exec_php', $content);
	$content = preg_replace('/\[exec off\]((.|\n)*?)\[\/exec\]/', '$1', $content);
	return $content;
	}
	else {return $content;}
}
```
Если страниц не так много, где используется PHP, то можно просто перебрать их ID.
0

6.5 лет назад #
MyDoom

Работает, но почему-то автоматически заменяет знаки "больше" и "меньше " на символы, чтобы отображаться не как код

1

6.2 года назад #
- Kama9251
  
  Потому что так работает WordPress... Вообще я не рекомендую юзать такой подход. Но если уж юзать, то нужно все делать в HTML редкторе, при переключении в Виз редактор, код будет портиться...
  
  Один из способов решения - это отключить виз редактор если в контенте есть [/exec]. Можно придумать другие костыли...
  
  1
  
  6.2 года назад #
  - MyDoom
    
    Спасибо за ответ
    
    0
    
    6.2 года назад #
  - Дмитрий
    
    А подскажите как это сделать?
    
    0
    
    5 лет назад #
    - Мижган
      
      [exec]include("counter/file.txt");[/exec] - вот так должно работать. Скобочки ставить не надо.
      
      0
      
      4.3 года назад #
Sergey

Здравствуйте.
Подскажите пожалуйста, можно ли эту функцию применить и к "Advanced Custom Fields" или что-то нужно дописать?
В дефолтных постах работает, а вот через "acf_add_options_page" не хочет выводить.
Заранее благодарен, за любой ответ.

0

4.6 лет назад #
- campusboy4388 www.youtube.com/c/wpplus
  
  Здравствуйте. Что Вы хотите сделать? Задачу расскажите.
  
  0
  
  4.6 лет назад #
  - Sergey
    Здравствуйте. Спасибо за отклик.
    
    В Advanced Custom Fields по этому методу https://www.advancedcustomfields.com/resources/options-page/ создал поле "Редактор WordPress" для настройки футера http://take.ms/lFVrl
    
    Применил в "functions.php" выше описаный скрипт с данной статьи http://take.ms/vnnPx
    
    Но на сайте http://take.ms/fHSsr выводиться строкой
    0
    
    4.6 лет назад #
    - campusboy4388 www.youtube.com/c/wpplus
      
      Думаю, что надо сделать так:
      
      echo apply_filters( 'the_content', get_field( 'my-option-key', 'option' ) );
      
      Ключ опции my-option-key не забудьте поменять на свой.
      
      0
      
      4.6 лет назад #
      - Sergey
        
        Спасибо за помощь.
        С редактором не хочет, но на этом поле http://take.ms/OZ0Go хоть стало работать
        
        0
        
        4.6 лет назад #
        
        campusboy4388 www.youtube.com/c/wpplus
        
        Потому что Визуальный редактор WP конвертирует некоторые символы. Чтобы такого не было, нужно работать с ним в режиме "Текст".
        
        0
        
        4.6 лет назад #
        
        Sergey
        
        в режиме "Текст" и было)
        Для теста пробовал в двух режимах "Визуально" и "Текст", но результат отрицательный.
        Возможно "Редактор WordPress" обрабатывается дополнительными скриптами системы, в отличии от "Область текста", что и есть причиной с выводом
        
        0
        
        4.6 лет назад #
        
        campusboy4388 www.youtube.com/c/wpplus
        
        Возможно ACF обрабатывает контент этого поля в целях безопасности Так и не понимаю, зачем это делать в произвольном поле, почему бы сразу не редактировать код шаблона темы?
        
        1
        
        4.6 лет назад #
        
        Sergey
        
        Жизнь себе усложняю
        Хотел на будущее предусмотреть, чтоб была возможность php вставки с административной части. Большое Вам спасибо, за поддержку.
        
        0
        
        4.6 лет назад #
Ambitus ambitus-dev.com

Здравствуйте! Хочу задать глобальную переменную в редакторе поста между [exec] [/exec] и прочитать ее в functions.php. Ничего не получается. Возможно ли это? Спасибо!

0

4.3 года назад #
- Kama9251
  
  Вообще глобальную переменную задать можно, но тут проблема в том что functions.php подключается раньше чем выводится контент (срабатывает код в [exec] [/exec]. Поэтому это невозможно. Хотя все зависит от того как используются функции в коде, нужно соблюдать порядок.
  
  0
  
  4.3 года назад #
Dook

Помогите пожалуйста - а как сделать это не the_content а в the_excerpt()

0

2.9 лет назад #
- campusboy4388 www.youtube.com/c/wpplus
  Заменить (или добавить)
```
add_filter( 'the_content', 'content_exec_php', 0 );
```
  на
```
add_filter( 'the_excerpt', 'content_exec_php', 0 );
```
  1
  
  2.9 лет назад #
Юрий
Почему-то при таком использовании:
```
[exec]$key = "ключевое слово";[/exec]
```
```
[exec]echo $key;[/exec]
```
"ключевое слово" не выводится. Подскажите пожалуйста как это сделать?
0

1.5 года назад #
Лекарь

Добрый день, спасибо за ваш замечательный код, он отлично работает на страницах сайте. Но к сожалению в рубриках этот код не работает. Скажите, как его изменить или что добавить, чтобы заработало в рубриках.
Спасибо,

1

1.5 года назад #

Исполняемый php код в записях WordPress

Важно о защите

До этого из: Код (коддинг)

До этого из: Хуки (хаки сниппеты фильтры события)