PHP в постах Wordpress - Это нормально?

Question

Я работал с некоторыми длинными списками информации и нашел хороший способ опубликовать ее в различных форматах на своих постах в WordPress.

Я установил плагин exec-PHP,который позволяет запускать php в сообщениях.Затем я создал новую таблицу (NEWTABLE) в моей базе данных WordPress и заполнил эту таблицу именами, оценками и прочим.

Затем я смог использовать довольно простой код для отображения информации в записи WordPress,Ниже приведен пример, но вы действительно можете делать все, что хотите.Мой вопрос - есть ли проблема с этим?с безопасностью?или память?Я мог бы просто напечатать всю информацию в каждом посте, но это действительно намного приятнее.Любые мысли приветствуются.

<?php
$theResult = mysql_query("SELECT * FROM NEWTABLE WHERE Score < 100  ORDER BY LastName");

while($row = mysql_fetch_array($theResult))
  {
  echo $row['FirstName'];
  echo " " . $row['LastName'];
  echo " " . $row['Score'];
  echo "<br />";
  }

?> 

Answer 1

Это определенно рискованно с точки зрения безопасности.Любой, кто получит доступ администратора к вашему сайту, может выполнить произвольные запросы к вашей базе данных.

Не говоря уже о возможности того, что вы наберете неправильный запрос и уничтожите свою базу данных.Маловероятно, но все же есть риск.

Вероятно, лучший способ сделать это - написать плагин, который выполняет этот запрос и отображает результат, когда вы помещаете в сообщение определенный тег.

Кроме того, если это происходит для каждого сообщения, вы можете использовать тег шаблона в теме или параметр в области администратора.

Answer 2

Вот для чего нужны шорткоды: http://codex.wordpress.org/Shortcode_API

Answer 3

WordPress ›Снайплеты« Плагины WordPress работают с PHP в стиле «шорткода». И если вам нужно запустить php на страницах (в отличие от постов), запустите его в шаблоне страницы: Шаблоны страниц «WordPress Codex