通过 wp_create_nonce 过滤大部分垃圾评论


每一个 CMS 系统,用户一旦多起来,垃圾评论就随之而来了,反垃圾评论是 CMS 开发中的一项必不可少的工作,WordPress 官方专门开发了垃圾评论拦截的插件 Akismet,基本上可以拦截绝大多数垃圾评论了。对于不想使用插件的用户,今天我们来介绍一种,简单高效的方法。

什么是 wp_create_nonce?

wp_create_nonce 是 WordPress 跟据“当前时间、$action 参数、和当前用户 id“生成随机字符串的函数,提交表单时,WordPress 会对这个随机字符串进行验证,如果提交的字符串相同,则证明本次提交是合法的提交。如下,我们添加一个名为 comment_nonce 的随机字符串到评论表单。

添加评论nonce到评论表单

add_action(comment_form_top, function ()
{
    global $post;
    $nonce = wp_create_nonce($post->ID); //生成nonce
    echo '';
});

垃圾评论是怎么来的?

网络上大部分垃圾评论是通过软件模拟提交评论产生的,垃圾评论软件通过模拟 WordPress 的评论数据(也就是昵称、邮箱、网址、评论这些数据),提交到 WordPress。因为是软件操作的,提交评论的效率非常高,往往每分钟能达到成百上千条。

怎么通过 wp nonce 防止垃圾评论

垃圾评论软件提交的评论数据都是实现准备好的,其他的数据都可以事先写好,但是,因为 comment_nonce 这个数据是随机生成的数据,是没办法事先写好的。处理评论提交的时候,我们验证这个随机数据就可以了,如果验证通过,说明是正常的评论,否则就可以认为是垃圾评论,直接丢掉提交过来的评论数据就可以了。

用户发表评论时,处理评论数据,验证随机数。

add_action('preprocess_comment', function ($commentdata)
{

    $comment_post_ID = $commentdata[ 'comment_post_ID' ];
    $comment_content = $commentdata[ 'comment_content' ];

    //检查comment_nonce
    $nonce = $_POST[ 'comment_nonce' ];
    if ( ! isset($_POST[ 'comment_nonce' ]) || ! wp_verify_nonce($nonce, $comment_post_ID)) {
        wp_die( 'You are robot?' );
    }

    $comment_content = strip_tags($comment_content); //过滤html标签

    return $commentdata;
});

本功能我们使用了 wp_create_noncewp_verify_nonce 这两个 WordPress 函数,除了评论,你还可以在其他需要提交表单地方使用这个方法来验证合法提交,过滤非法提交,从而保证 WordPress 站点的安全。

  • 分享:
评论
还没有评论
    发表评论 说点什么