騒がれているwordpress4.7.2の変分を眺めてみた

Author:

なんかwordpress4.7.0から実装されたREST APIにバグがあるとかなんとかで騒がれている。
で、修正版がリリースされたわけなのですが、過去バージョンがあるわけなので、どういう修正をしたかがすぐ分かってしまう。
ってことでちょっと見てみました。

そこまでphpのセキュリティに詳しいわけでもないし、wordpressのソースについて詳しいわけじゃないのでなんともではあるのですが、個人的にはempty関数やキャストを多用しているのが非常に気になる。
phpのempty関数は癖がありますからねえ。empty(0)はtrueになりますし。empty(“aaa”)はfalseになりますし。
で、POST変数をそのままemptyにぶち込んだりしている。で、その後is_arrayとかのチェックもせずforeachへぶっこむ。

foreachの中身で不要なデータをunsetしているみたいだけど、個人的には不安な印象を受けるソースですね。
きっとここにpostされるデータは安全だと分かっている、だからこういう書き方しているんですよね?

どうしてもwordpressはフレームワークに載っかっているわけじゃないからソースがややこしいし、オープンソースだからソースは覗き放題。
プラグインは作成者のスキル差が非常にあるし、メジャーなソフトだからアタックされやすい。
こういう問題は常につきまといますよね。

自分らエンジニアはまだそういう危険性を認識して、それであえて使っているからともかくとして。
実際にMySQLもLinuxもオープンソースですし。
ただ、一般人はそんなの何も知らずに使っているのはちょっと不安ですよねえ。
wordpressを使うべき、と自分があまり主張したくないのもこれが原因ですし。

Facebook にシェア
Pocket