WordPress как на ладони
Очень Удобный и Быстрый Хостинг для сайтов на WordPress. Пользуюсь сам и вам рекомендую!

Защита от SQL-инъекций при изменении запроса поиска (search)

Добавил возможность поиска по произвольным полям и несколько недель назад видел много подозрительных запросов с поиском, пример привести не могу, так как они уже потерялись.

В итоге для этого обновления нужна дополнительная защита от SQL-инъекций ?

в файле /wp-includes/query.php

обновил строку с:

$search .= $wpdb->prepare( "{$searchand}(($wpdb->posts.post_title LIKE %s) OR ($wpdb->posts.post_content LIKE %s))", $like, $like );

на:

$search .= $wpdb->prepare( "{$searchand}(($wpdb->posts.post_title LIKE %s))", $like, $like );

и добавил вот такой код:

add_filter( 'posts_join', 'cf_search_join' );

add_filter( 'posts_where', 'cf_search_where' );

add_filter( 'posts_distinct', 'cf_search_distinct' );

function cf_search_join( $join ) {
	global $wpdb;

	if( is_search() ){
		$join .= ' LEFT JOIN ' . $wpdb->postmeta . ' ON ' . $wpdb->posts . '.ID = ' . $wpdb->postmeta . '.post_id ';
	}

	return $join;
}

function cf_search_where( $where ) {
	global $pagenow, $wpdb;

	if( is_search() ){
		$where = preg_replace(
			"/\(\s*" . $wpdb->posts . ".post_title\s+LIKE\s*(\'[^\']+\')\s*\)/",
			"(" . $wpdb->posts . ".post_title LIKE $1) OR (" . $wpdb->postmeta . ".meta_value LIKE $1 AND " . $wpdb->postmeta . ".meta_key='video' )", $where );
	}

	return $where;
}

function cf_search_distinct( $where ) {
	global $wpdb;

	if( is_search() ){
		return "DISTINCT";
	}

	return $where;
}
0
lethalblo
год назад 15
  • 0
    Kama9603

    Не понял зачем ты код ядра изменил, если ты на хуках его меняешь, почему на хуках и не поправить как тебе нужно.

    На этих хуках строка поиска насколько помню уже обработана и дополнительно эскеписть от инъекций не нужно.

    П.С. Форматирование кода чутка подправил.

    lethalblo год назад

    Мне нужен поиск только по заголовкам и доп. полям. По умолчанию ВП ищет и в контенте, редактирование этой строчки в ядре убирает поиск по контенту. Раньше у меня был код, запрещающий поиск по контенту, но он работать перестал, когда я добавил поиск по доп полям.

    Комментировать
На вопросы могут отвечать только зарегистрированные пользователи. Вход . Регистрация