0
我有一個Wordpress多站點安裝,部分功能是加載存儲在數據庫中的CSS(一次性複製版本來自父和子CSS文件)(Wordpress選項表部分的主題選項)。該功能在主題選項面板中可用。需要安全性建議允許用戶寫入CSS文件
啓用此功能後,父級和子級CSS將被禁用,主題將從自定義css文件(custom.css)加載。這個custom.css的內容來自數據庫(就像我在第一段中所說的那樣)。在主題選項面板中,用戶現在可以編輯整個CSS並保存它。一旦保存,它將寫入一個custom.css文件並進行更改。
如果此方法是安全的,我需要您的想法。基本上我已經消毒的自定義CSS使用下面的PHP行(之前它將被保存到數據庫):
$sanitized_css = esc_html($original_css);
凡esc_html是一個WordPress函數轉義的HTML代碼:http://codex.wordpress.org/Function_Reference/esc_html
但我不當然,如果這真的是最好的方法。我會很感激你的建議和想法。
我想直接輸出CSS到瀏覽器(內聯)不使用任何CSS文件,這種方法也是安全的嗎?但我知道從CSS文件加載始終是最好的做法,特別是對於大型CSS文件。
我需要確保應用程序對XSS,MySQL注入和其他安全風險是安全的。
謝謝。