Защита от SQL-инъекций при изменении запроса поиска (search)
Добавил возможность поиска по произвольным полям и несколько недель назад видел много подозрительных запросов с поиском, пример привести не могу, так как они уже потерялись.
В итоге для этого обновления нужна дополнительная защита от SQL-инъекций ?
в файле /wp-includes/query.php
обновил строку с:
$search .= $wpdb->prepare( "{$searchand}(($wpdb->posts.post_title LIKE %s) OR ($wpdb->posts.post_content LIKE %s))", $like, $like );
на:
$search .= $wpdb->prepare( "{$searchand}(($wpdb->posts.post_title LIKE %s))", $like, $like );
и добавил вот такой код:
add_filter( 'posts_join', 'cf_search_join' ); add_filter( 'posts_where', 'cf_search_where' ); add_filter( 'posts_distinct', 'cf_search_distinct' ); function cf_search_join( $join ) { global $wpdb; if( is_search() ){ $join .= ' LEFT JOIN ' . $wpdb->postmeta . ' ON ' . $wpdb->posts . '.ID = ' . $wpdb->postmeta . '.post_id '; } return $join; } function cf_search_where( $where ) { global $pagenow, $wpdb; if( is_search() ){ $where = preg_replace( "/\(\s*" . $wpdb->posts . ".post_title\s+LIKE\s*(\'[^\']+\')\s*\)/", "(" . $wpdb->posts . ".post_title LIKE $1) OR (" . $wpdb->postmeta . ".meta_value LIKE $1 AND " . $wpdb->postmeta . ".meta_key='video' )", $where ); } return $where; } function cf_search_distinct( $where ) { global $wpdb; if( is_search() ){ return "DISTINCT"; } return $where; }
Не понял зачем ты код ядра изменил, если ты на хуках его меняешь, почему на хуках и не поправить как тебе нужно.
На этих хуках строка поиска насколько помню уже обработана и дополнительно эскеписть от инъекций не нужно.
П.С. Форматирование кода чутка подправил.
Мне нужен поиск только по заголовкам и доп. полям. По умолчанию ВП ищет и в контенте, редактирование этой строчки в ядре убирает поиск по контенту. Раньше у меня был код, запрещающий поиск по контенту, но он работать перестал, когда я добавил поиск по доп полям.