WordPress的is_user_logged_in()安全吗？

Question

我一直在想这件事。下面的if语句是否足够安全？当没有登录时，是否很容易突破代码并访问内容？

<?php if ( is_user_logged_in() ) { 
     // SECURE CONTENT
} else { 
     // LANDING PAGE
} ?>

Answer 1

好吧，你得问问自己“有足够的安全做什么？”我怀疑你是一家银行或其他机构，需要特别高的安全性。如果你是$100,000+的话，你每年都会有一组专家为你解答这个问题。

考虑到这一点..。

您必须颠覆WordPress登录系统才能通过该代码。我相信这是可能的，但如果你的密码是可靠的，这应该是相当困难的。它不会是一种“在查询字符串中放置空字节”的攻击。在大多数情况下，它应该足够安全。

要担心的是，它所依赖的is_user_logged_in和wp_get_current_user，都是可插拔的 (在我看来毫无意义)意味着一个恶意插件，或者仅仅是一个写得不好的插件，可能会完全破坏您的安全性。