// Add custom Theme Functions here
add_filter('widget_text','execute_php',100);
function execute_php($html){
if(strpos($html,"<"."?php")!==false){
ob_start();
eval("?".">".$html);
$html=ob_get_contents();
ob_end_clean();
}
return $html;
}
Đoạn code này cho phép thực thi mã PHP trong nội dung của widget văn bản (Text Widget) trong WordPress bằng cách sử dụng bộ lọc widget_text. Khi người dùng nhập mã PHP vào widget, nó sẽ được xử lý và thực thi thay vì chỉ hiển thị dưới dạng văn bản.
Nguy Cơ Bảo Mật
- Dễ bị tấn công RCE (Remote Code Execution): Nếu người dùng có quyền chỉnh sửa widget văn bản, họ có thể chèn mã độc hại (ví dụ: gửi email spam, truy cập tệp tin hệ thống, hoặc xóa dữ liệu).
eval()không an toàn: Hàm này có thể thực thi bất kỳ mã PHP nào, bao gồm mã độc.- Cách khắc phục:
- Hạn chế quyền chỉnh sửa widget cho người dùng không đáng tin cậy.
- Sử dụng plugin “PHP Code Widget” an toàn hơn để hỗ trợ PHP trong widget thay vì
eval().
Chào ! Bạn thấy nội dung này thế nào?





