私は自分自身の実際のインストールスクリプトを含むWordPressテーマに取り組んでいます。だからこれは何が起こるかです。は、CURLを使用してWpテーマセーフの情報を送受信していますか?
1.)ユーザーはmysiteからtheme.zipをダウンロードします。
theme.zipにはテーマ自体が含まれていないため、インストールスクリプトとインストールを成功させるために必要なすべてのファイルが含まれています。
2.
が)今、ユーザーは、彼らがtheme.zipアップロードしたWPのダッシュボード)3)ワンを使用して(自分のサーバーにアップロードしますtheme.zip、彼らはユーザ名を必要とし、インストールスクリプトを実行しますパスワードはMY SQL DBに保存されています。
//恐ろしいビット
ここで、インストールスクリプトではどうなりますか。
ユーザが自分のユーザ名とパスワードを入力すると、(curlを使って)私のサーバ上のphpファイルにいくつかの変数(ユーザのユーザ名、パスワード、一意のID番号)が送られます。その後、私のサーバーはSQL DBを調べ、特定の行を選択して(ユーザーの固有のID番号を使用して)、ユーザーの詳細が正しいかどうかを確認します。詳細が正しければ、サーバーはTRUE
の値を持ついくつかの変数を戻します(JSONエンコード/デコードを使用)。ユーザーサーバーがTRUE
値を受信すると、それは続行されます。 FALSE
の値を受け取った場合、それは停止してエラーをスローします。
ユーザーが正常にログインすると(私のサーバーからTRUEが返されます)、別のCURL関数が実行されます。
この関数は、自分のサーバー上の別のPHPファイルに一意のIDを送信します。 PHPファイルは、私のサーバー上に置かれたフォルダのコピーを作成し、一意のID番号を持つファイルに名前を付けて、重複するフォルダを "265851654"(すべてのテーマの内容を含む)とし、私のサーバー)はそのフォルダを.zipに圧縮します。圧縮が完了すると、新しく生成された.zipがサーバー上のどこに置かれ、ダウンロードできるかに関する情報をユーザーのサーバーに戻します。
ユーザーサーバーは、サーバーから受け取った情報を使用してダウンロードリンクを生成し、.zipファイルのダウンロードを開始します。ダウンロードが完了すると、別のカール機能が実行されます。この機能は説明したものと同じ機能を実行しますが、ダウンロード可能な.zipを構築する代わりに、.zipを削除します。
これで、他のものもたくさんありますが、ユーザー側ではそれがすべてです。
これは安全ですか?このテーマはすべての人が利用できるようになります。つまり、カール関数と、他のすべてのソースコードを見て、自分の好みで編集できるようになります。
安全でない場合は、悪意のある人たちが迷惑をかけるのを防ぐためのアドバイスをお願いできますか?
ありがとうございます!