Está desativando test_form no wp_handle_upload uma preocupação de segurança?

Estou escrevendo um plugin que modifica o comportamento padrão ao fazer o upload de um arquivo para uma publicação ou para a biblioteca de mídia. Estou ajustando $ overrides em wp_handle_upload () com um $ unique_filename_callback personalizado.

Uma vez que eu adicionei isso, ele tropeçou a seguinte verificação dentro de wp_handle_upload (), porque $ _POST [‘action’] não foi definido. (Não tenho certeza por que não foi, mas não foi).

if ( $test_form && (!isset( $_POST['action'] ) || ($_POST['action'] != $action ) ) ) return call_user_func($upload_error_handler, $file, __( 'Invalid form submission.' )); 

Então, eu estabeleço $ overrides [‘test_form’] = false, e agora está funcionando. Estou pensando se isso poderia ser uma questão de segurança potencial, no entanto. Isso permitiria que alguém publique um formulário de uma fonte remota ou algo assim?

Parece que é normal desativá-lo quando você está criando seus próprios campos de upload, mas estou usando o formulário de upload de postagem embutido, então eu quero ter certeza.

Solutions Collecting From Web of "Está desativando test_form no wp_handle_upload uma preocupação de segurança?"

Eu não diria preocupação de segurança – já que você está usando este plugin dentro do administrador (eu presumo depois que o usuário foi autenticado, ou seja, depois de admin_init ), então você já tem proteção contra qualquer Jon Doe publicando um formulário no seu script.

O que ele fornece, é uma camada adicional de autenticação. Tudo o que realmente se resume é o envio de um “segredo” junto com o formulário e, em seguida, verificar se há existência (e que corresponde) antes de continuar.

Para um atacante, eles precisariam conhecer esse segredo para quebrar, por exemplo, usando CSRF ou XSS .

Esta é a própria natureza de como WordPress não funciona. Na verdade, você seria muito melhor usando estes em vez de test_form. Eles dão um passo melhor na medida em que são segredos que expiram , então a janela para um atacante é tornada ainda menor.

Confira o artigo de Jaquith sobre Nonces .