Wordpress自定义PHP AJAX调用返回400错误请求且不执行 - 腾讯云开发者社区

文章/答案/技术大牛

发布

CVE-2022-21661：通过 WORDPRESS SQL 注入暴露数据库信息

首先，这是一个演示该漏洞的快速视频：漏洞该漏洞发生在 WordPress Query ( WP_Query ) 类中。WP_Query对象用于对 WordPress 数据库执行自定义查询。.../ajax-pagination.php 当请求发送到wp-admin/admin-ajax.php并且操作参数是ecsload时，调用get_document_data方法。 ...is called } 图 2 - wordpress/wp-admin/admin-ajax.php admin-ajax.php页面检查请求是否由经过身份验证的用户发出。...如果请求来自未经身份验证的用户，admin-ajax.php将调用未经身份验证的 Ajax 操作。...在这种情况下，错误通过插件暴露，但存在于 WordPress 本身中。虽然这是信息泄露而不是代码执行的问题，但暴露的数据可能对攻击者很有价值。

5.3K1 0

WordPress 文章无法保存？试试这些实用修复技巧

10秒内允许400次请求注意：1.WAF 中的“网站设置”和“全局设置”需要同时开启才生效。...二、插件冲突：功能强大≠没有副作用许多插件，尤其是安全类、SEO类、表单类插件，可能会通过钩子干扰 admin-ajax.php 的正常执行，导致返回非 JSON 内容。...（如 echo、var_dump()），或者自定义 AJAX 处理函数未正确输出 JSON 数据，都会破坏后台通信流程。...四、PHP 错误信息泄露：调试模式的小插曲有时候，PHP 的 Notice 或 Warning 信息会被直接输出到响应中，破坏 JSON 格式。...五、核心文件损坏：WordPress 的“系统感冒”虽然少见，但 admin-ajax.php 或 class-wp-ajax-response.php 等核心文件若被病毒篡改或升级中断，也可能引发此问题

4531 0

您找到你想要的搜索结果了吗？

是的

没有找到

CVE-2024-25600：WordPress Bricks Builder RCE

中prepare_query_vars_from_settings函数中这段代码被用来执行用户提交的 PHP 代码并返回执行结果，通过构造的POC，输入的代码将在这里执行。...query参数下，要有参数useQueryEditor 构造函数自动执行的前提是所在的类被实例化，继续搜素，看在哪里会实例化Query类在ajax.php#render_element中存在Query...的实例化，需要的条件就是loop_element为false，而其初始值为false，这里设置了ajax与rest api这两种请求方式。...非ajax请求element参数下没有参数loopElement,loop_elemet 将被置为 false ，即保证POST请求中保持没有loopElement即可保持为false。...api.php中存在命名相同的方法调用了Ajax#render_element，这里的api.php实际上是一个处理注册的 REST API 端点之一的文件继续搜索调用，找到在它的自定义初始化端点函数

7881 0

WordPress Ajax 异步加载自定义评论表情

最近为了考试都复习成狗熊样啦~~我要缓缓折腾折腾WordPress 先。今天带来本人最新的折腾成果： Ajax异步加载自定义评论表情。...由于评论表情那22个gif图片加载的话实在是增加了不少的请求数，虽然本站DeveWork.com 的图片都用七牛加速了，但对于Jeff 这种有洁癖的人来说，实在是不舒服。...WordPress Ajax 异步加载自定义评论表情效果直接在点击下面的评论框效果就出来了，有兴趣的可以用开发者工具看看是不是异步加载。效果图示： ? ?...注意：在开始本教程前请确保你已经看过《WordPress中添加自定义评论表情包的方法（附三套表情包下载）》原文并在你的主题上实现该功能，要求下载的smilies[devework.com].zip文件在这里有用...WordPress Ajax 异步加载自定义评论表情教程：一、删除你主题上来自于《WordPress中添加自定义评论表情包的方法（附三套表情包下载）》一文的所有代码（重要！）

2.1K9 1

使用 Nonce 防止 WordPress 网站受到 CSRF 攻击

a.com接收到请求后，对请求进行验证，并确认是受害者的凭证，误以为是受害者自己发送的请求。 a.com以受害者的名义执行了act=xx。...攻击最好的方法，WordPress Nonce 通过提供一个随机数，来实现在数据请求（比如，在后台保存插件选项，AJAX 请求，执行其他操作等等）的时候防止未授权的请求。...php echo $nonce ?>"> 最后在执行其他动作的时候，使用 wp_verify_nonce() 函数验证下 nonce。...('wpjam'); 然后将 $nonce 作为 _ajax_nonce 参数的值传递给 AJAX 调用： $("#text").load("....../ajax_response.php?_ajax_nonce=php echo $nonce ?

1.9K1 0

AJAX 与跨域通信（一）：AJAX 与同源策略

,'demo.php?...该函数接受两个参数：头部字段（部分默认的或者自定义的）的名称和头部字段的值。...捕获这个错误。 4.3 overrideMimeType() 方法服务器返回的响应头中有一个是 Content-Type，用以告诉客户端返回的资源类型（MIME）以及应该用什么编码去解码。...有以下6个进度事件： loadstart：在接受到响应数据的第一个字节时触发 progress：在接受响应期间持续不断地触发 error：在请求错误时触发 abort：在因为调用 abort() 方法而终止连接时触发...我们不妨假设一下，不存在同源策略、且不同源之间这些操作是允许的，看看可能会发生什么事。

1.4K1 0

原生JS与jQuery对AJAX的实现

像在创建账号的时候检测此用户名是否存在就是一个典型的案例，本文讲从原生JS和jQuery方面介绍AJAX的实现，跨域问题暂且不表。...，为字符串格式三、jQuery实现AJAX 1.GET 使用get()方法时，采用GET方式向服务器请求数据，并通过方法中回调函数的参数返回请求的数据，它的调用格式如下： $.get(url,[callback...).serialize() 3.ajax 使用ajax()方法是最底层、功能最强大的请求服务器数据的方法，它不仅可以获取服务器返回的数据，还能向服务器发送请求并传递数值，它的调用格式如下： $.ajax...([settings]) 其中参数settings为发送ajax请求时的配置对象，在该对象中，url表示服务器请求的路径，data为请求时传递的数据，dataType为服务器返回的数据类型，success...为请求成功的执行的回调函数，type为发送数据请求的方式，默认为get。

4K2 0

提高WordPress网站的打开速度

慢速访问的Wordpress前台解决方案就是把调用的谷歌的文件链接换成国内的链接。.../jquery.min.js替换为ajax.useso.com/ajax/libs/jquery/1.7.2/jquery.min.js。...family=Pacifico"); WordPress网站后台慢访问解决方案解决方法一：将如下代码复制到主题文件function.php //禁用Open Sansfunction remove_open_sans...解决方法二：使用360网站卫士代理访问谷歌Open Sans 打开wordpress代码中的文件wp-includes/script-loader.php文件搜索：fonts.googleapis.com...family1=Open+Sans:300italic,400italic,600italic,300,400,600&subset=$subsets"; 把fonts.googleapis.com替换为

2.6K3 0

分享纯代码禁用WordPress谷歌字体

WordPress加载谷歌字体会拖慢国内程序的运营速度，今天全百科网就给大家分享下如何利用代码禁止谷歌字体的调用方法。...WordPress 加载谷歌字体的代码位于 wordpress\wp-includes\script-loader.php 文件中，目前我所查到的代码主要有以下三处： // 全百科网提供代码 // WordPress...family=Open+Sans:300italic,400italic,600italic,300,400,600&subset=$subsets"; // 全百科网www.quanbaike.com...* Set to 'off' to disable loading. */ $font_family = _x( 'Noto Serif:400,400i,700,700i', 'Google Font...然后是禁用代码，直接添加到主题的 functions.php 文件中即可。

1.4K6 0

WordPress安全架构分析

当请求形似 wp-admin/admin-ajax.php?...', $class ), '3.6.0' ); } return addslashes( $string ); } 这样在返回前，调用vsprintf的时候，post_status的值中的单引号就已经被转义过了.../wp-includes/class-wp-query.php line 2246~2282 面对这种大批量的拼接问题，一般会使用esc_sql函数来过滤这里esc_sql最终也是会调用上面提到的escape...但事实就是，总会有一些错误发生。...我们可以先了解一下Wordpress给api开放的接口，在wordpress的文档中，它推荐wordpress的插件作者通过hook函数来把自定义的接口hook进入原有的功能，甚至重写系统函数。

2.1K2 0

WordPress流氓主题利用户服务器做肉鸡发动DDos攻击

然而这是在pipdigz.co.uk上的一个文件（id39dqm3c0_license_h.txt）上执行GET请求，该文件昨天早上在响应正文中返回了“https://kotrynabassdesign.com.../wp-admin/admin-ajax.php”。...当响应主体不为空时，即当它包含该URL时，以下代码使用伪造的用户代理向响应中的admin-ajax.php URL发送第二个GET请求： $rcd = trim($response['body']);...然而，此代码会在https://pipdigz.co.uk/p3/socialz.txt上执行GET请求，该请求需要响应中的电子邮件地址。...如果它返回与您的博客URL匹配的博客URL，它将查找具有WordPress前缀的所有的表并逐个删除它们。

1.7K2 0

异步编程Ajax的详解，并对其进行封装整理

含义 100 ~ 199 连接继续 200 ~ 299 各种成功的请求 300 ~ 399 重定向 400 ~ 499 客户端错误 500 ~ 599 服务端错误（2）xhr的基本使用在使用xhr...('get', 'example.php', 'true') 光调用了 open() 方法还不够，它只是创建了一个请求，但还没有发送请求，因此我们还要调用xhr对象上的另一个方法，即 send() 方法...后面的，例如这样 example.php?query=4&em=0，所以若是我们要在发送get请求时携带数据，只需要在调用 open() 方法时，将数据写在第二个参数的URL的 ?...query 值为 4 、em 值为 0，规定返回的数据类型为 json，同时设定了一个回调函数用于接收请求返回的数据、状态和xhr对象发送post请求 $.post('example.php', {...，或者服务器可以将 Access-Control-Allow-Origin 值设为 *，此时表示允许任何域向其发送请求并且不受同源策略的限制。

2.2K2 0

高级前端：详解手写原生Ajax的实现

2.2K2 0

Wordpress安全架构分析

0x03 nonce安全机制出于防御csrf攻击的目的，wordpress引入了nonce安全机制，只有请求中_wpnonce和预期相等，请求才会被处理。...当请求形似 wp-admin/admin-ajax.php?...', $class ), '3.6.0' ); } return addslashes( $string ); } 这样在返回前，调用vsprintf的时候，post_status的值中的单引号就已经被转义过了...但事实就是，总会有一些错误发生。...我们可以先了解一下Wordpress给api开放的接口，在wordpress的文档中，它推荐wordpress的插件作者通过hook函数来把自定义的接口hook进入原有的功能，甚至重写系统函数。

2K8 0

【Wordpress】ajax 实现站内搜索

wordpress 如何提供接口？页面如何实现异步请求接口数据，并完成页面的渲染？...比如调用最新文章、热门文章、自定义文章类型文章循环输出等。在官方手册中也有介绍到：wp_query，支持多种 sql 语句的比较符号： ? 看！...所以，我们将会用到 wordpress 自带的 admin-ajax.php 文件。...实现原理：要使用 admin-ajax.php 请求必然首先就是遇到如何使用 wordrpess 的钩子 hook 来做过滤。...', 'search' );add_action( 'wp_ajax_search', 'search' ); 调用方式：示例：https://zhaoshuai.me/wp-admin/admin-ajax.php

1.9K1 0

WordPress 常量概述

值：true DOING_AJAX 如果是来自 AJAX 的请求，将被定义。值：true DOING_AUTOSAVE 当 WordPress 正在自动保存日志的时候，将被定义。...值：true DOING_CRON 当 WordPress 正在执行 Cronjob 的时候，将被定义。...值：true WP_REPAIRING 如果是来自 /wp-admin/maint/repair.php 的请求，将被定义。.../ 的相对路路径，可以自定义。...值：true|false CUSTOM_USER_TABLE 定义自定义 user 表值：表名 CUSTOM_USER_META_TABLE 定义自定义 user meta 表.

1.7K2 0

AJAX 与跨域通信（一）：AJAX

,'demo.php?...该函数接受两个参数：头部字段（部分默认的或者自定义的）的名称和头部字段的值。...但是如果是异步请求呢？对于异步请求，不需要等待服务器响应结果我们就可以执行后面的判断了，甚至可能出现一种情况是：服务器还没来得及响应结果，判断已经先执行了。那么这时候，请求一定会失败。...捕获这个错误。 4.3 overrideMimeType() 方法服务器返回的响应头中有一个是 Content-Type，用以告诉客户端返回的资源类型（MIME）以及应该用什么编码去解码。...有以下6个进度事件： loadstart：在接受到响应数据的第一个字节时触发 progress：在接受响应期间持续不断地触发 error：在请求错误时触发 abort：在因为调用 abort() 方法而终止连接时触发

1.2K2 0

HTTP协议学习

1.HTTP协议学习目标： (1).调试AJAX应用"看不见摸不着"的错误 (2).进行Web访问优化---高阶面试题 2.面试题：浏览器中输入www.taobao.com直到看到页面之间发生了什么？...-499 客户端请求错误 404 ⑤.500-599 服务器错误 500 Message：消息/报文，是在http客户端和服务器传递数据块 http协议规定：消息必须符合特定格式才能理解 (2).响应消息类型...400 (Bad Repuest 错误请求) 403(Forbidden 不能访问的文件) 404(Not Found 请求文件不存在) 405(Method Not Allowed 请求方法不允许)... E.kk = '1.php' 18.Ajax常用对象和属性事件方法 (1).xhr对象：向web服务器发送请求，并接收返回响应消息 var xhr = new XMLHttpRequest...，要求服务器必须返回application/javascript，立即在客户端执行，要执行的函数本体在客户端浏览器中声明php" async> function

7.4K1 0

WordPress 简单实现 chatGPT 文章摘要

先在后台预置好 php 接口，然后在前端异步调用 php 文件接口返回数据即可（前端模拟打字效果）。...chatGPT 返回数据（发送请求后随即将请求记录到本地防止并发同一请求），拿到数据后再将实际返回数据覆写到本地记录，最后返回过滤结果到前端操作。...执行 chatGPT 请求后会在同目录生成名为 chat_data.php 文件，该文件为本地缓存，首次请求写入后续将直接从文件读取数据以避免 chatGPT 重复请求造成多次付费。...接受参数为 pid，已做错误处理，代码仅供参考，其中部分内容为 wordpress 主题集成所用，不保证兼容及实际可行性。 <?...集成特性将该功能集成到 wordpress 主题控件后支持了以下两个特性：可自定义分类文章是否开启数据调用以及可选的 chatGPT 对话模型。

6771 0

WordPress || .htaccess 文件使用手册

通过 htaccess 文件，可以帮我们实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。...——站长百科理解 WordPress 的 htaccess # BEGIN WordPress #这是一行注释，表示 WordPress 的 htaccess 从这里开始 #如果 Apache 加载了...$ - [L] #如果请求路径是 index.php，停止重写操作（避免死循环） RewriteCond %{REQUEST_FILENAME} !.../index.php [L] #把所有的请求指向 /index.php #结束 IfModule # END WordPress #WordPress 的 htaccess 到这里结束使用范例设置错误页面...ErrorDocument 400 /error_pages/400.html ErrorDocument 401 /error_pages/401.html ErrorDocument 403 /error_pages

3.2K1 0

点击加载更多

CVE-2022-21661：通过 WORDPRESS SQL 注入暴露数据库信息

WordPress 文章无法保存？试试这些实用修复技巧

CVE-2024-25600：WordPress Bricks Builder RCE

WordPress Ajax 异步加载自定义评论表情

使用 Nonce 防止 WordPress 网站受到 CSRF 攻击

AJAX 与跨域通信（一）：AJAX 与同源策略

原生JS与jQuery对AJAX的实现

提高WordPress网站的打开速度

分享纯代码禁用WordPress谷歌字体

WordPress安全架构分析

WordPress流氓主题利用户服务器做肉鸡发动DDos攻击

异步编程Ajax的详解，并对其进行封装整理

高级前端：详解手写原生Ajax的实现

Wordpress安全架构分析

【Wordpress】ajax 实现站内搜索

WordPress 常量概述

AJAX 与跨域通信（一）：AJAX

HTTP协议学习

WordPress 简单实现 chatGPT 文章摘要

WordPress || .htaccess 文件使用手册

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐