WordPress cung cấp một chức năng hữu ích được gọi là is_email()kiểm tra xem một địa chỉ email cụ thể có hợp lệ không. Có một chức năng tương tự có sẵn để kiểm tra xem một URL có hợp lệ không?
Tôi đã cố gắng is_url()nhưng đó chỉ là suy nghĩ mong muốn từ phía tôi.
Tham chiếu: http://codex.wordpress.org/Function_Reference/is_email
Câu trả lời:
Sử dụng Trình xác thực bộ lọc hàm php
if (filter_var($url, FILTER_VALIDATE_URL) === FALSE) {
die('Not a valid URL');
}$pdo->query("SELECT pw FROM users WHERE id={$_GET['id']}").
FILTER_VALIDATE_URLkhông.
ttps://www.youtube.comlà hợp lệ. Nói cách khác - không sử dụng FILTER_VALIDATE_URL - nó không đáng tin cậy.
Tôi biết đây là một bài viết cũ, nhưng đối với bất kỳ ai truy cập cũng nên xem xét các chức năng WP esc_url()và esc_url_raw(), sau này an toàn cho các mục cơ sở dữ liệu, v.v., vì nó không mã hóa các thực thể. esc_url()không mã hóa các thực thể và vì vậy rất tốt để hiển thị cho người dùng.
Trong nguồn bạn có thể thấy rằng esc_url()kiểm tra danh sách trắng các giao thức và cấu trúc được phép và do đó tránh được một số lỗ hổng được FILTER_VALIDATE_URLlưu ý bởi liên kết được đặt ra bởi @tobltobs.
Tôi thấy wp_http_validate_urlkhá thuận tiện để kiểm tra xem một chuỗi trong URL hợp lệ hay không trong khi làm việc với dự án của tôi.
Tham khảo từ đây: https://developer.wordpress.org/reference/fifts/wp_http_validate_url/
Ví dụ:
$val = 'http://somevalidurl.com';
if ( wp_http_validate_url( $val ) ) {
// It's valid URL;
} else {
// It's NOT valid URL;
}Nó trả về chính URL nếu nó hợp lệ, khác sai.
localhostkhông hợp lệ; nhưng nó http://example.com/"><script>alert("xss")</script>được coi là hợp lệ
http://localhostkhông hợp lệ.
http_request_host_is_externalbộ lọc để cho phép localhost: function allow_some_url( $external, $host, $url ) { return ( $host === 'localhost' ) ? true : $external; } add_filter( 'http_request_host_is_external', 'allow_some_url', 10, 3 ); if ( wp_http_validate_url( 'http://localhost/wordpress/' ) ) { echo 'valid'; } else { echo 'invalid'; }
gethostbyname()để lấy IP của URL để xác nhận thêm.
Để đảm bảo URL do người dùng gửi là hợp lệ và an toàn để lưu trữ và hiển thị sau này, tôi đề xuất
esc_url_raw($url) === $urlesc_url_raw(), như @orionrush đã đề cập ở trên, vệ sinh URL bằng cách xóa bất kỳ thứ gì không hợp lệ hoặc độc hại khỏi nó. Vì vậy, nếu chuỗi không có gì không hợp lệ hoặc độc hại thì cũng không sao.
Ví dụ
if( esc_url_raw($url) === $url ) {
// URL is valid. Use it...
} else {
// URL is invalid or malicious. Don't use it...
}Tôi đã viết một bài đăng blog dài hơn trên đó tại đây: https://cmljnelson.wordpress.com/2018/08/31/url-validation-in-wordpress/
Theo tôi thì tốt hơn là sử dụng wp_http_validate_url .
Ví dụ 1:
filter_var( '//website.com', FILTER_VALIDATE_URL )Trả lại sai.
Ví dụ 2:
wp_http_validate_url( '//website.com' )Trả lại url.
Tham chiếu: https://developer.wordpress.org/reference/fifts/wp_http_validate_url/
Tham chiếu: https://www.php.net/manual/en/feft.filter-var.php
is_email(), thực sự không kiểm tra xem một địa chỉ email có hợp lệ không, chỉ khi nó phù hợp với thông số kỹ thuật. Email tôi sẵn sàng cung cấp cho nhiều trang web thể hiện sự quan tâm vô nghĩa đối với địa chỉ email của tôi là a@b.com là địa chỉ phù hợp nhưng không chắc có ai sử dụng nó.
Kiểm tra các url được thực hiện tốt nhất bằng cách ping chúng. Bạn có thể thử kiểm tra sự phù hợp, nhưng trên lý thuyết có rất ít hạn chế đối với những gì một url được mã hóa có thể.