每一个 CMS 系统,用户一旦多起来,垃圾评论就随之而来了,反垃圾评论是 CMS 开发中的一项必不可少的工作,WordPress 官方专门开发了垃圾评论拦截的插件 Akismet,基本上可以拦截绝大多数垃圾评论了。对于不想使用插件的用户,今天我们来介绍一种,简单高效的方法。
什么是 wp_create_nonce?
wp_create_nonce 是 WordPress 跟据“当前时间、$action 参数、和当前用户 id“生成随机字符串的函数,提交表单时,WordPress 会对这个随机字符串进行验证,如果提交的字符串相同,则证明本次提交是合法的提交。如下,我们添加一个名为 comment_nonce 的随机字符串到评论表单。
添加评论nonce到评论表单
add_action(comment_form_top, function () { global $post; $nonce = wp_create_nonce($post->ID); //生成nonce echo ''; });
垃圾评论是怎么来的?
网络上大部分垃圾评论是通过软件模拟提交评论产生的,垃圾评论软件通过模拟 WordPress 的评论数据(也就是昵称、邮箱、网址、评论这些数据),提交到 WordPress。因为是软件操作的,提交评论的效率非常高,往往每分钟能达到成百上千条。
怎么通过 wp nonce 防止垃圾评论
垃圾评论软件提交的评论数据都是实现准备好的,其他的数据都可以事先写好,但是,因为 comment_nonce 这个数据是随机生成的数据,是没办法事先写好的。处理评论提交的时候,我们验证这个随机数据就可以了,如果验证通过,说明是正常的评论,否则就可以认为是垃圾评论,直接丢掉提交过来的评论数据就可以了。
用户发表评论时,处理评论数据,验证随机数。
add_action('preprocess_comment', function ($commentdata) { $comment_post_ID = $commentdata[ 'comment_post_ID' ]; $comment_content = $commentdata[ 'comment_content' ]; //检查comment_nonce $nonce = $_POST[ 'comment_nonce' ]; if ( ! isset($_POST[ 'comment_nonce' ]) || ! wp_verify_nonce($nonce, $comment_post_ID)) { wp_die( 'You are robot?' ); } $comment_content = strip_tags($comment_content); //过滤html标签 return $commentdata; });
本功能我们使用了 wp_create_nonce 和 wp_verify_nonce 这两个 WordPress 函数,除了评论,你还可以在其他需要提交表单地方使用这个方法来验证合法提交,过滤非法提交,从而保证 WordPress 站点的安全。