Защита от SQL-инъекций при изменении запроса поиска (search)
Добавил возможность поиска по произвольным полям и несколько недель назад видел много подозрительных запросов с поиском, пример привести не могу, так как они уже потерялись.
В итоге для этого обновления нужна дополнительная защита от SQL-инъекций ?
в файле /wp-includes/query.php
обновил строку с:
$search .= $wpdb->prepare( "{$searchand}(($wpdb->posts.post_title LIKE %s) OR ($wpdb->posts.post_content LIKE %s))", $like, $like );
на:
$search .= $wpdb->prepare( "{$searchand}(($wpdb->posts.post_title LIKE %s))", $like, $like );
и добавил вот такой код:
add_filter( 'posts_join', 'cf_search_join' );
add_filter( 'posts_where', 'cf_search_where' );
add_filter( 'posts_distinct', 'cf_search_distinct' );
function cf_search_join( $join ) {
global $wpdb;
if( is_search() ){
$join .= ' LEFT JOIN ' . $wpdb->postmeta . ' ON ' . $wpdb->posts . '.ID = ' . $wpdb->postmeta . '.post_id ';
}
return $join;
}
function cf_search_where( $where ) {
global $pagenow, $wpdb;
if( is_search() ){
$where = preg_replace(
"/\(\s*" . $wpdb->posts . ".post_title\s+LIKE\s*(\'[^\']+\')\s*\)/",
"(" . $wpdb->posts . ".post_title LIKE $1) OR (" . $wpdb->postmeta . ".meta_value LIKE $1 AND " . $wpdb->postmeta . ".meta_key='video' )", $where );
}
return $where;
}
function cf_search_distinct( $where ) {
global $wpdb;
if( is_search() ){
return "DISTINCT";
}
return $where;
}
Не понял зачем ты код ядра изменил, если ты на хуках его меняешь, почему на хуках и не поправить как тебе нужно.
На этих хуках строка поиска насколько помню уже обработана и дополнительно эскеписть от инъекций не нужно.
П.С. Форматирование кода чутка подправил.
Мне нужен поиск только по заголовкам и доп. полям. По умолчанию ВП ищет и в контенте, редактирование этой строчки в ядре убирает поиск по контенту. Раньше у меня был код, запрещающий поиск по контенту, но он работать перестал, когда я добавил поиск по доп полям.