0
我有一个Wordpress多站点安装,部分功能是加载存储在数据库中的CSS(一次性复制版本来自父和子CSS文件)(Wordpress选项表部分的主题选项)。该功能在主题选项面板中可用。需要安全性建议允许用户写入CSS文件
启用此功能后,父级和子级CSS将被禁用,主题将从自定义css文件(custom.css)加载。这个custom.css的内容来自数据库(就像我在第一段中所说的那样)。在主题选项面板中,用户现在可以编辑整个CSS并保存它。一旦保存,它将写入一个custom.css文件并进行更改。
如果此方法是安全的,我需要您的想法。基本上我已经消毒的自定义CSS使用下面的PHP行(之前它将被保存到数据库):
$sanitized_css = esc_html($original_css);
凡esc_html是一个WordPress函数转义的HTML代码:http://codex.wordpress.org/Function_Reference/esc_html
但我不当然,如果这真的是最好的方法。我会很感激你的建议和想法。
我想直接输出CSS到浏览器(内联)不使用任何CSS文件,这种方法也是安全的吗?但我知道从CSS文件加载始终是最好的做法,特别是对于大型CSS文件。
我需要确保应用程序对XSS,MySQL注入和其他安全风险是安全的。
谢谢。